هل كان هذا المقال مفيدًا؟
شكرًا على ملاحظاتك.
فشل تسجيل الدخول الموحد (SSO) عند تجديد شهادة SP من خلال ADFS كموفر دولة
هل لديك ملاحظات؟فشل تسجيل الدخول الموحد (SSO) عند تجديد شهادة SP من خلال ADFS كموفر الهوية.
فشل الدخول الموحد (SSO) عند تحديث شهادة SP جديدة على موفر الهوية (ADFS).
الخطأ: رمز الحالة غير صحيح في الاستجابة.
خطوات التحقيق:
- قم بالتقاط أثر SAML للعثور على استجابة SAML:
- أضف المكون الإضافي أداة فك تشفير رسائل SAML إلى المستعرض:
لكروم: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
لفايرفوكس: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - افتح المكون الإضافي وانقر على نسخ هذه الرسالة.
- افتح Notepad++، لتثبيت انقر هنا.
- الصق الرسالة للعثور على استجابة SAML بلغة XML مباشرة.
- تحقق مما إذا كانت السمات موجودة في استجابة SAML من موفر التعريف.
- إذا كنت لا ترى أي سمات، فهذا يعني أن Webex لا يتلقاها من موفر الهوية. وبالتالي، يجب التحقيق في المشكلة من نهاية موفر التعريف.
- للتحقق من ADFS Webex الذي يعتمد على تكوين الطرف، انقر هنا.
- عندما يبدو التكوين جيدًا، تحقق من سجلات عارض الحدث.
- تحقق من وجود أخطاء ADFS في سجلات Windows:
- في سجلات Windows، ابحث عن رمز الخطأ 364 الخاص بسجل أحداث ADFS. تحدد تفاصيل الحدث شهادة غير صالحة. في هذه الحالات، لا يسمح لمضيف ADFS من خلال جدار الحماية الموجود على المنفذ 80 للتحقق من صحة الشهادة.
- اسمح لموفر التعريف بالوصول إلى المنفذ 80 من خلال جدار حماية يصل إلى الإنترنت، حتى يتمكن من إجراء فحوص CRL.
- إذا كان المنفذ مفتوحًا، فقم بالمتابعة باستخدام Microsoft وجدار الحماية الخاص بها.
- إذا لم يكن المنفذ 80 مفتوحًا على جدار الحماية أو كانت فحوص CRL لا تعمل، فقم بتعطيل CRL.
- على خادم ADFS > انقر فوق عارض الأحداث > التطبيقات > ADFS > المسؤول > البحث عن سجل الأخطاء في الطابع الزمني الذي قمت بنسخه من تسجيل الدخول. إذا رأيت الخطأ التالي:
الخطأ: "حدث خطأ أثناء طلب الاتحاد السلبي.
اسم بروتوكول البيانات الإضافية
: الطرف المعول على سامل
: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
تفاصيل الاستثناء:
: الطرف المعول على سامل
: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
تفاصيل الاستثناء:
Microsoft.IdentityServer.Service.SecurityTokenService.RecancelValidationException: MSIS3014: شهادة تشفير ثقة الطرف المعول "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' المحددة ببصمة الإبهام '754B9208F1F75C5CC962750F3675C5D129471D80' غير صالحة. قد يشير إلى أن الشهادة قد تم إلغاؤها أو انتهت صلاحيتها أو أن سلسلة الشهادات غير موثوق بها.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
في Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult نتيجة) في Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(طلب RequestSecurityToken، IList1& identityClaimSet، List1 additionalClaims) في Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(طلب RequestSecurityToken، List1 additionalClaims)في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage، SecurityTokenElement onBehalfOf، String sessionState، String relayState، String&newSamlSession، String&samlpAuthenticationProvider، Boolean isUrlTranslationNeeded، WrappedHttpListenerContext context، Boolean isKmsiRequested)في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context، HttpSamlRequestMessage httpSamlRequest، SecurityTokenElement onBehalfOf، String relyingPartyIdentifier، String isKmsiRequested، Boolean isApplicationProxyTokenRequired، String & samlpSessionState، String & samlpAuthenticationProvider)فيMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest، WrappedHttpListenerContext context، String relyingPartyIdentifier، SecurityTokenElement signOnTokenElement، isKmsiRequested، Boolean isApplicationProxyTokenRequired) في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context، SecurityToken securityToken deviceSecurityToken)في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)في Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext، PassiveProtocolHandler protocolHandler)في Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
ها هي الدقة:
- افتح Powershell على ADFS كمسؤول وقم بتشغيل الأمر:
الحصول على AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationتحقق من لا شيء -EncryptionCertificateRevocationالتحقق من لا شيء
ملاحظات
- تأكد من إدخال عنوان URL الخاص بالمعرف في علامات الاقتباس وإمكانية العثور على عنوان URL الخاص بالمعرف في رسالة الخطأ، قم بنسخه ولصقه.
- يجب استخدام Webex for Government (FedRAMP) Control Hub https://admin-usgov.webex.com/.
أو
- افتح Powershell على ADFS كمسؤول وقم بتشغيل الأمر:
الحصول على AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
ملاحظة: تأكد من إدخال اسم ثقة الطرف المجيب بنفس اسم العميل الوحيد الذي تم إنشاؤه على ADFS الخاص به وفي علامات اقتباس مزدوجة.
- اختبر الدخول الموحد (SSO) على مركز التحكم للتحقق.
هل كان هذا المقال مفيدًا؟
