ADFS 3.0 в Win 2012 создает утверждения SAML с истекшим сроком действия 1 час.

Я использую Win 2012 и установил на нее ADFS 3.0. На данный момент сервер настроен на создание утверждений SAML 2.0 для одной проверяющей стороны (мое тестовое приложение).

Я получаю сообщение об ошибке Assertions is expired на стороне проверяющей стороны, поэтому я использовал SAML Tracer для проверки сгенерированного утверждения и обнаружил, что срок действия сгенерированных утверждений с самого сервера Win 2012 истек через 1 час от текущего времени сервера.

Часть утверждения SAML: NotBefore="2016-05-05T12:19:15.789Z" NotOnOrAfter="2016-05-05T13:19:15.789Z"

И время моего сервера в этот момент было 14:29 по системным часам.

Любая идея, что вызывает эту разницу во времени и как это исправить?


adfs3.0 windows2012
person Mr767267    schedule 05.05.2016    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Обычно это означает, что ваш сервер приложений имеет значительное расхождение во времени с сервером ADFS, а библиотека проверки для вашего приложения не допускает этого. Я думаю, что допуск по умолчанию для перекоса времени в ADFS составляет 5 минут, но я могу ошибаться.

Во-первых, попробуйте синхронизировать время. Если вы выполняете синхронизацию с NTP-серверов, обычно все должно быть в порядке.

Вы также можете попробовать изменить параметр SKEW в ADFS. Это не рекомендуется, потому что хорошо убедиться, что серверы синхронизированы по времени.

Set-ADFSRelyingPartyTrust -NotBeforeSkew "5" -targetname "your app name"
person SamuelD MSFT    schedule 07.05.2016
comment
Спасибо, у меня сработала настройка перекоса. Я использовал 2 вместо 5, и это было нормально. Позже я постараюсь выяснить, почему синхронизация не работает, а также проверю, что источником синхронизации является NTP-сервер. - person Mr767267; 09.05.2016