Udostępnij za pośrednictwem

Błąd AADSTS75011 — metoda uwierzytelniania użyta do uwierzytelnienia użytkownika w usłudze jest niezgodna z żądaną metodą uwierzytelniania AuthnContextClassRef

  • Artykuł

W tym artykule opisano problem, w którym jest wyświetlany komunikat o błędzie "Błąd — AADSTS75011 metoda uwierzytelniania, za pomocą której użytkownik uwierzytelniony w usłudze nie jest zgodny z żądaną metodą uwierzytelniania AuthnContextClassRef", podczas próby zalogowania się do skonfigurowanej aplikacji jednokrotnej opartej na protokole SAML (SSO), która została zintegrowana z identyfikatorem Microsoft Entra ID.

Uwaga 16.

Czy ten artykuł był pomocny? Twoje dane wejściowe są dla nas ważne. Użyj przycisku Opinie na tej stronie, aby poinformować nas, jak dobrze działa ten artykuł lub jak możemy go ulepszyć.

Symptomy

Podczas próby zalogowania się do aplikacji skonfigurowanej do używania identyfikatora Entra firmy Microsoft do zarządzania tożsamościami przy użyciu logowania jednokrotnego opartego na protokole SAML jest wyświetlany AADSTS75011 komunikat o błędzie.

Przyczyna

Element RequestedAuthnContext znajduje się w żądaniu SAML. Oznacza to, że aplikacja oczekuje określonego AuthnContext AuthnContextClassRefprzez element . Jednak użytkownik został już uwierzytelniony przed uzyskaniem dostępu do aplikacji i AuthnContext (metoda uwierzytelniania) używana do tego poprzedniego uwierzytelniania różni się od żądanego. Na przykład wystąpił dostęp użytkowników federacyjnych do aplikacji MyApps i WIA. Będzie AuthnContextClassRef to urn:federation:authentication:windows. Identyfikator entra firmy Microsoft nie będzie wykonywać nowego żądania uwierzytelniania, będzie używać kontekstu uwierzytelniania, który został przekazany przez dostawcę tożsamości (ADFS lub innej usługi federacyjnej w tym przypadku). W związku z tym będzie występować niezgodność, jeśli aplikacja żąda innej niż urn:federation:authentication:windows. Innym scenariuszem jest sytuacja, w których użyto funkcji MultiFactor: 'X509, MultiFactor.

Rozwiązanie

RequestedAuthnContext jest wartością opcjonalną. Jeśli to możliwe, zapytaj aplikację, czy można usunąć wartość.

Inną opcją jest upewnienie się, że RequestedAuthnContext wartość zostanie honorowana. Odbywa się to przez żądanie nowego uwierzytelniania. W ten sposób po przetworzeniu żądania SAML jest wykonywane nowe uwierzytelnianie i AuthnContext jest honorowane. Aby zażądać nowego uwierzytelniania, żądanie SAML musi zawierać wartość forceAuthn="true".

Więcej informacji

Aby uzyskać pełną listę kodów błędów uwierzytelniania i autoryzacji usługi Active Directory, zobacz Kody błędów uwierzytelniania i autoryzacji firmy Microsoft

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii na temat platformy Azure.