我正在尝试关注文章 https://msdn.microsoft.com/en-us/library/azure/dn641269.aspx https://support.google.com/a/answer/6363817?hl=en
域名 school.edu
当我打开隐私浏览窗口并转到 login.microsoftonline.com 并在我的域中指定一个用户时,我按预期被重定向到 Google 以获取登录名和密码。但是,在输入有效凭据后,我被重定向到 Microsoft 登录页面并显示错误
我收到错误 附加技术信息: 关联 ID:[已编辑,不确定这是否是敏感 ID] 时间戳:2017-05-11 19:15:31Z AADSTS50107:请求的联合领域对象'https://accounts.google.com/o/saml2?idpid= [id]' 不存在。
此处列出的 URL 在直接访问时返回 404,但是 https://accounts.google.com/o/saml2/idp?idpid= [id] 可以直接访问(尽管对于格式错误的 SAML 请求会出错)。我通过 powershell 将 idp?idpid=[id] 指定为 LogOnUri,但它似乎并没有从那里的那个值中提取。
我不确定如何从这里开始,除了向 Microsoft 开票(上次我们通过不同方式尝试 SSO 时,他们无法提供帮助,大概是一年前)。
最佳答案
在 Office365 中创建用户后,需要设置其不可变 IT。它应该与他们的 Google 用户主电子邮件地址相匹配,该地址也应该是他们的 MS 用户名。
启动Powershell
Import-Module MSOnline
$Msolcred = Get-Credential
Connect-MsolService -Credential $MsolCred
set-msoluser -userprincipalname USERNAME -ImmutableId SAME USERNAME
按照此过程进行一些修改。
这让它对我有用。 ImmutableID 是问题所在,通常由 AzureAD Connect 服务处理,如果您不运行本地 AD 基础设施,该服务将不存在。
关于single-sign-on - 以 G Suite 作为 SAML 身份提供者的 Office365/Azure AD,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43939295/