错误：无法使用 IDP 登录。 在 Shibboleth 的 SAML 响应中发现无效主题

描述

使用 Shibboleth IDP 时，尝试通过 SAML 登录账户登录 ArcGIS Enterprise 门户时会返回以下错误：

Unable to login using Idp. Invalid subject found in SAML response.

原因

SAML 声明响应的 <Subject> 元素中缺少 SAML NameID 属性。

解决方案或解决方法

1. 编辑 SHIBBOLETH_HOME/conf/saml-nameid.xml 文件并替换此部分：

<!--

<bean parent="shibboleth.SAML2AttributeSourcedGenerator"

   p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"

   p:attributeSourceIds="#{ {'mail'} }" />

-->

with the following:

<bean parent="shibboleth.SAML2AttributeSourcedGenerator"

            p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"

            p:attributeSourceIds="#{ {'your-name-id-attribute'} }" />

2. 重新启动 Shibboleth 后台程序 (Linux) 或服务 (Windows)。