错误 - AADSTS75011 身份验证方法,用户通过服务进行身份验证时与请求的身份验证方法 AuthnContextClassRef 不匹配

本文介绍一个问题,您收到错误消息"错误 - AADSTS75011 身份验证方法",用户通过服务进行身份验证时与请求的身份验证方法 AuthnContextClassRef 不匹配。 尝试登录已与 Azure AD () 集成了 SSO Azure Active Directory (的基于 SAML 的单一登录) 。

症状

尝试登录已设置为使用 Azure AD 使用基于 SAML 的 SSO 进行身份管理的应用程序时 AADSTS75011 ,将收到错误。

原因

RequestedAuthnContext位于 SAML 请求中。 这意味着应用需要 指定的 AuthnContext AuthnContextClassRef 。 但是,用户在访问应用程序之前已经过身份验证,并且用于) 身份验证的 (身份验证方法与请求的身份验证 AuthnContext 不同。 例如,发生了对 MyApps 和 WIA 的联合用户访问。 AuthnContextClassRef将为 urn:federation:authentication:windows 。 AAD 不会执行全新的身份验证请求,它将使用 IdP (ADFS 或其他任何联合身份验证服务通过该请求传递的身份验证上下文) 。 因此,如果应用请求而非 ,则存在不匹配 urn:federation:authentication:windows 的情况。 另一种情况是使用 MultiFactor 时 'X509, MultiFactor :。

解决方案

RequestedAuthnContext 是可选值。 然后,如果可能,询问应用程序是否可将其删除。

另一个选项是确保 RequestedAuthnContext 将遵守。 这将通过请求新的身份验证完成。 通过执行此操作,当处理 SAML 请求时,将执行全新的身份验证, AuthnContext 并且将遵守 。 若要请求新鲜身份验证,SAML 请求最多包含值 forceAuthn="true"

更多信息

有关 Active Directory 身份验证和授权错误代码的完整列表,请参阅Azure AD 身份验证和授权错误代码