Nach erfolgreicher Anmeldung am ADFS Proxy erscheint AADSTS50008: SAML token is invalid.
Beim Betrieb einer föderierten Domain, welche mittels ADFS / ADFS Proxy Benutzer via Single Sign On gegen Office 365 dienste authentifiziert erscheint ohne Change an den on premise Systemen plötzlich die Fehlermeldung:
- Leider können wir Sie nicht anmelden.
- Es wurde eine ungültige Anforderung empfangen.
- Weitere technische Informationen:
- Correlation ID: 99a6cc54-47f1-4936-a57c-59050600a8f8
- Timestamp: 2015-10-23 05:12:39Z
- AADSTS50008: SAML token is invalid.
Beim Studium von KB3015526 (https://support.microsoft.com/en-us/kb/3015526) erscheint der Hinweis, auf dem ADFS Server das Powershell-Kommando:
Update-MsolFederatedDomain -DomainName [verified domain]
abzusetzen, da es sich hierbei um einen bekannten Fehler handelt.
Gesagt getan – auf dem ADFS Server mit Hilfe der Microsoft Online Services Module auf dem ADFS Proxy und zwei Befehlen durchgeführt – leider ohne Erfolg.
PS C:\Windows\system32> connect-msolservice
WARNING: There is a newer version of the Microsoft Online Services Module. Your current version will still work as expected, however the latest version can be downloaded at https://portal.microsoftonline.com.
PS C:\Windows\system32> Update-MsolFederatedDomain -DomainName xyz.net
Successfully updated ‚xyz.net‘ domain.
Der Update-Befehl brachte in diesem Fall nicht die erwarteteLösung.
Beim weiteren Troubleshooting der Domaincontroller Logs fiel auf, dass aufgrund einer Firewallmigration die Zeit vom Zeitserver nicht mehr korrekt vom Internet synchronisiert wurde. Der gesamte Forrest ging 5 Minuten vor.
Lösung für AADSTS50008: SAML token is invalid bei Office 365 / Microsoft Azure Active Directory war in diesem Fall eine resynchronisation der Zeiten. Danach klappte es auch wieder mit der Anmeldung am Office 365 mittels ADFS / ADFS Proxy. In diesem Sinne – tempus fugit.