Low severityauthentication
Power BI Error:
AADSTS90081
What does this error mean?
Microsoft Entra ID (Azure AD) kon een binnenkomend WS-Federation bericht niet parsen of valideren tijdens federated sign-in.
Common causes
- 1Federated domain in Entra ID verwijst naar een ADFS / third-party IdP die een ongeldig of malformed WS-Federation response uitgeeft
- 2Federation metadata (issuer URI, token-signing certificate, passive endpoint) in Entra ID is verlopen of niet meer in sync met de IdP
- 3Token-signing certificaat van de IdP is geroteerd zonder update via Update-MsolFederatedDomain / Update-MgDomainFederationConfiguration
- 4Clock skew tussen ADFS-server en Entra ID waardoor NotBefore/NotOnOrAfter assertions falen
- 5Verkeerd geconfigureerde claim rules of relying party trust in ADFS waardoor het uitgaande SAML/WS-Fed bericht niet conform de spec is
How to fix it
- 1Identificeer welk federated domain de gebruiker gebruikt (UPN-suffix) en controleer met `Get-MgDomainFederationConfiguration -DomainId <domein>` of issuer URI, passive endpoint en signing certificate kloppen met de actuele IdP-configuratie
- 2Valideer op de IdP (ADFS): controleer of het token-signing certificaat geldig is en niet recent is geroteerd; vernieuw indien nodig met `Update-MgDomainFederationConfiguration` zodat Entra ID het nieuwe certificaat kent
- 3Verifieer tijdsynchronisatie tussen ADFS-server(s) en Entra ID — meer dan ~5 minuten skew breekt token-validatie
- 4Reproduceer de sign-in en vang het WS-Fed bericht op via Fiddler of de browser-trace; controleer dat de SAML assertion een geldige `Issuer`, `Audience` en signature bevat
- 5Schakel ADFS-tracing in (Event Viewer → AD FS → Admin) om te zien welk specifiek veld in het uitgaande bericht door Entra ID wordt afgewezen, en pas de relying party claim rules of endpoint-config aan