Freigeben über

Fehler AADSTS75011 – Die Authentifizierungsmethode, mit der sich der Benutzer beim Dienst authentifiziert hat, stimmt nicht mit der angeforderten Authentifizierungsmethode AuthnContextClassRef überein

  • Artikel

In diesem Artikel wird ein Problem beschrieben, bei dem Sie die Fehlermeldung "Error - AADSTS75011 Authentication method, by which the user authenticated with the service doesn't match requested authentication method AuthnContextClassRef", when you try to sign in a SAML-based single sign-on (SSO) configured app that has been integrated with Microsoft Entra ID.

Notiz

Waren diese Informationen hilfreich? Wir schätzen Ihr Feedback. Bitte verwenden Sie die Schaltfläche Feedback auf dieser Seite, um uns mitzuteilen, wie gut Ihnen dieser Artikel gefallen hat oder wie wir ihn verbessern können.

Symptome

Sie erhalten eine AADSTS75011 Fehlermeldung, wenn Sie versuchen, sich bei einer Anwendung anzumelden, die für die Verwendung von Microsoft Entra ID für die Identitätsverwaltung mithilfe von SAML-basierten SSO eingerichtet wurde.

Ursache

Der RequestedAuthnContext ist in der SAML-Anforderung enthalten. Das bedeutet, dass in der Anwendung der von AuthnContextClassRef angegebene AuthnContext erwartet wird. Der Benutzer hat sich jedoch bereits vor dem Zugriff auf die Anwendung authentifiziert, und der AuthnContext (Authentifizierungsmethode), der für die vorherige Authentifizierung verwendet wurde, unterscheidet sich von der angeforderten Authentifizierungsmethode. Beispielsweise ist ein Verbundbenutzerzugriff auf MyApps und WIA aufgetreten. AuthnContextClassRef ist urn:federation:authentication:windows. Microsoft Entra-ID führt keine neue Authentifizierungsanforderung aus, es verwendet den Authentifizierungskontext, der von der IDP (ADFS oder einem anderen Verbunddienst in diesem Fall) übergeben wurde. Daher besteht keine Übereinstimmung, wenn die Anwendung nicht urn:federation:authentication:windows anfordert. Ein anderes Szenario ist die Verwendung von MultiFactor: 'X509, MultiFactor.

Lösung

RequestedAuthnContext ist ein optionaler Wert. Wenn möglich, fragen Sie die Anwendung, ob der Wert entfernt werden könnte.

Eine weitere Option besteht darin, sicherzustellen, dass der RequestedAuthnContext Wert berücksichtigt wird. Dazu wird eine neue Authentifizierung angefordert. Dadurch wird, wenn die SAML-Anforderung verarbeitet wird, eine neue Authentifizierung durchgeführt und AuthnContext berücksichtigt. Um eine Fresh Authentication anzufordern, muss die SAML-Anforderung den Wert enthalten. forceAuthn="true"

Weitere Informationen

Eine vollständige Liste der Active Directory-Authentifizierungs- und Autorisierungsfehlercodes finden Sie unter Microsoft Entra-Authentifizierungs- und Autorisierungsfehlercodes.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.