IDP启动SSO失败，OKTA作为Azure中的IDP

Question

我们已将OKTA配置为Azure AD中的国内流离失所者。在测试IDP(OKTA)身份验证流时，它会引发错误。

使用下面的microsoft链接配置Okta & Azure AD作为参考。

https://learn.microsoft.com/en-us/azure/active-directory/b2b/direct-federation

到目前为止我们做了什么？

1. 在OKTA注册公司"example.com“
2. 在OKTA创建了一个自定义的SAML应用程序来导出OKTA IDP
3. 应用程序SSO设置，如上面的引用链接
4. 将OKTA元数据导入到AzureAD

中作为外部IDP。

按照下面的步骤测试IDP身份验证流

1. 与OKTA
2. 中的现有用户登录后，用户在这里重定向到仪表板页
3. ，当我们单击自定义应用程序chiclet时，不需要重定向到Microsoft应用程序门户，而是抛出错误-

下面。

AADSTS50107:请求的联邦领域对象'http://www.okta.com/xxxxxxxxxxxxxxxxxxxx‘不存在.

Answer 1

我认为直接联合不支持idp启动的登录，您需要使用租户上下文登录。你在你贴的链接上看到那张便条了吗？

直接联合来宾用户必须使用包含租户上下文(例如，https://myapps.microsoft.com/?tenantid=或https://portal.azure.com/ )的链接进行登录，或者在经过验证的域中使用https://myapps.microsoft.com/?tenantid=。与应用程序和资源的直接链接也可以工作，只要它们包括租户上下文。直接联合用户目前无法使用没有租户上下文的公共端点进行登录。例如，使用https://myapps.microsoft.com、https://portal.azure.com或https://teams.microsoft.com将导致错误。