Поделиться через

Ошибка AADSTS75011: метод проверки подлинности, примененный пользователем в службе, не соответствует запрошенному методу AuthnContextClassRef.

  • Статья

В этой статье описывается проблема, в которой отображается сообщение об ошибке "Ошибка — метод проверки подлинности AADSTS75011, с помощью которого пользователь прошел проверку подлинности со службой, не соответствует запрошенной методу проверки подлинности AuthnContextClassRef", когда вы пытаетесь войти в настроенное приложение на основе SAML (SSO), которое было интегрировано с идентификатором Microsoft Entra ID.

Примечание.

Статья была полезной? Ваши входные данные важны для нас. Нажмите кнопку "Отзывы" на этой странице, чтобы сообщить нам, насколько хорошо эта статья работала для вас или как мы можем улучшить ее.

Симптомы

При попытке входа в приложение, настроенное для использования идентификатора Microsoft Entra для управления удостоверениями, при попытке входа в приложение, настроенное для управления удостоверениями, вы получаете AADSTS75011 сообщение об ошибке с помощью единого входа на основе SAML.

Причина

Он RequestedAuthnContext находится в запросе SAML. Это означает, что приложение ожидает указанного AuthnContext параметром AuthnContextClassRef. Однако пользователь уже прошел проверку подлинности до доступа к приложению и AuthnContext (метод проверки подлинности), используемый для предыдущей проверки подлинности, отличается от запрошенного. Например, произошел федеративный доступ пользователя к MyApps и WIA. Будет AuthnContextClassRef urn:federation:authentication:windows. Идентификатор Microsoft Entra не будет выполнять свежий запрос проверки подлинности, он будет использовать контекст проверки подлинности, который был передан поставщиком удостоверений (ADFS или любой другой службой федерации в этом случае). Таким образом, будет несоответствие, если приложение запрашивает другое urn:federation:authentication:windows. Другим сценарием является использование MultiFactor: 'X509, MultiFactor

Решение

Значение RequestedAuthnContext является необязательным. Если это возможно, попросите приложение удалить значение.

Другой вариант заключается в том, чтобы убедиться, что RequestedAuthnContext значение будет выполнено. Это делается путем запроса новой проверки подлинности. При этом при обработке запроса SAML выполняется новая проверка подлинности и AuthnContext учитывается. Чтобы запросить новую проверку подлинности, запрос SAML должен содержать значение forceAuthn="true".

Дополнительная информация

Полный список кодов ошибок проверки подлинности и авторизации Active Directory см. в кодах ошибок проверки подлинности и авторизации Microsoft Entra.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.