Pogingen om in te loggen via Single Sign-On (SSO) resulteren in de volgende fout:

Error: urn:oasis:names:tc:SAML:2.0:status:Requester

Het volledige foutbericht is:

{“error”: “De IdP heeft de statuscode ‘urn:oasis:names:tc:SAML:2.0:status:Requester’ verzonden. De optionele tweede statuscode was ‘urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy’. Zie paragraaf 3.2.2.2 van de SAML-specificatie voor meer informatie.”}

De ADFS-log toont deze fout:

MSIS7070: De SAML-aanvraag bevatte een NameIDPolicy die niet werd vervuld door het uitgegeven token. Gevraagde NameIDPolicy: AllowCreate: False, Format: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, SPNameQualifier: (geen). Huidige NameID-eigenschappen: null.

Oorzaken en oplossingen

Oorzaak 1

Het account heeft geen e-mailadres in Active Directory.

Oplossing 1

Voer een van de volgende acties uit:

• Voeg een e-mailadres toe aan de betrokken gebruiker in Active Directory.
• Log in met een Zivver-account dat overeenkomt met een gebruiker in Active Directory met een e-mailadres.

Oorzaak 2

Er is een probleem met de ADFS-claimregels.

Oplossing 2

Splits de eerste claimregel in twee afzonderlijke claimregels. Deze regel heet vaak AD Attributes.

Doe dit als volgt:

1. Maak één claimregel die het LDAP-attribuut ObjectGUID koppelt aan het uitgaande claimtype https://zivver.com/SAML/Attributes/ZivverAccountKey.
2. Maak een tweede claimregel die het LDAP-attribuut E-mailadressen koppelt aan het uitgaande claimtype E-Mail Address.