通过
Microsoft要求从Office365保护SAML2/Shibboleth联邦域的ECP端点的证书是一个“受信任的”证书(由Microsoft认为是受信任的根CA颁发的证书),并且还要求该证书与信任结构证书匹配。
这些证书会过期,因此需要不时更新
不幸的是,这不是那么清楚,因为它可以…只是运行另一个Set-MSOLDomainSettings只是默默地忽略(哎呀,感谢微软!)
基本过程是将域移回管理(unfederated)模式,然后使用新证书重新启用联合模式。
我使用了以下Powershell脚本(请记住Connect-MsolService事先!):
$dom = "example.com" $feddom = "Federation for example.com" $url = "https://idp.example.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.example.com:8443/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.example.com/idp/shibboleth" $logouturl = "https://idp.example.com/idp/SingleLogout?ReturnTo=http://www.example.com/" $cert = "MMIIDVzCCAj+gAwIBAgI…"Set-MsolDomainAuthentication -domainname $dom -authentication managed Set-MsolDomainAuthentication ' -domainname $dom ' -FederationBrandName $feddom ' -authentication Federated ' -PassiveLogOnUri $url ' -ActiveLogOnUri $ecpUrl ' -SigningCertificate $cert ' -IssuerUri $uri ' -LogOffUri $logouturl ' -PreferredAuthenticationProtocol SAMLP Get-MsolDomainFederationSettings -domain $dom
注意,反勾号允许将命令扩展到多行。
在过去,这两个Set过程需要相当长的时间,这取决于被移动的域的大小,但这似乎已经被排序了(耶!),所以这两个过程都在大约10秒内完成。
记得在IDP中更新您的证书并重新启动它!
参见:
我记得它就是这么起作用的,没错。当时的文档非常糟糕,但现在已经改进了,也就是说我现在找不到任何参考资料……
我在调试自己的一些ECP问题时碰到了你的帖子。我想要一些澄清。您的意思是ECP SSL证书和web sso配置文件的签名证书必须是相同的并且是公开可信的吗?