身份验证失败,并出现错误"请求的联盟领域对象<对象 ID >"不存在"

对于属于与Azure Active Directory (Azure AD) 或 Microsoft 365 中第三方标识提供程序联盟的域的一部分的用户,身份验证失败,并出现错误"请求的联合身份验证领域对象'< 对象 ID >'不存在"。

登录联盟域时的错误屏幕截图。

登录联盟域时错误详细信息的屏幕截图。

当第三方标识提供程序在 SAML 安全声明标记语言或 SAML 响应中的 Issuer 字段中返回错误 颁发者 ( 失败) 失败。

解决方案 1

通过客户端,联系第三方标识提供程序的支持团队,让他们更正颁发者 URI,在SAML 中以颁发者身份返回对 Azure AD 或 Microsoft 365 的响应。

解决方案 2

使用 命令 Set-MsolDomainFederationSettings 修改联合域的 IssuerURI,以匹配错误中列出的领域对象。

  1. 连接 MSONLINE 模块访问 Azure AD。 若要检查模块是否已安装,请打开 PowerShell 并执行 get-module MSONLINE -ListAvailable 命令。

  2. 按照安装 Azure AD 模块中概述的步骤 安装模块。

  3. 运行以下命令来验证联合域的首选身份验证协议。

    $federationSettings=Get-MsolDomainFederationSettings -DomainName domain.com
    
    $federationSettings.PreferredAuthenticationProtocol
    
  4. 如果 PreferredAuthenticationProtocol 步骤 3 中列出的值显示为 WSFED, 请运行以下命令来更新 IssuerURI

    Set-MsolDomainFederationSettings -DomainName domain.com -IssuerUri "value of federated realm object listed in the authentication failure message"
    

    Azure AD 在身份验证失败消息中列出了必要的 IssuerURI 值。

  5. 如果步骤 3 中列出的值为 SAMLP (SAML 协议) ,请运行以下命令来 PreferredAuthenticationProtocol 更新 IssuerURI。

    Set-MsolDomainFederationSettings -DomainName domain.com -IssuerUri "value of federated realm object listed in the authentication failure message" -PreferredAuthenticationProtocol samlp
    

    Azure AD 在身份验证失败消息中列出了必要的 IssuerURI 值。

其他信息

仍然需要帮助? 转到 Microsoft 社区Azure Active Directory 论坛网站。