فشل تسجيل الدخول الموحد (SSO) عند تجديد شهادة SP من خلال ADFS كموفر دولة
فشل تسجيل الدخول الموحد (SSO) عند تجديد شهادة SP من خلال ADFS كموفر الهوية.
فشل الدخول الموحد (SSO) عند تحديث شهادة SP جديدة على موفر الهوية (ADFS).
خطأ: رمز الحالة غير صالح ردا على ذلك.
خطوات التحقيق:
- التقط تتبع SAML للعثور على استجابة SAML:
- إضافة ملحق فك تشفير رسالة SAML إلى المستعرض:
لكروم: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
لفايرفوكس: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - افتح المكون الإضافي وانقر على نسخ هذه الرسالة.
- افتح المفكرة ++، للتثبيت انقر هنا.
- الصق الرسالة للعثور على استجابة SAML بلغة XML مباشرة.
- تحقق مما إذا كانت السمات موجودة في استجابة SAML من موفر التعريف.
- إذا كنت لا ترى أي سمات، فهذا يعني أن Webex لا يتلقاها من موفر الهوية. وبالتالي، يجب التحقيق في المسألة من نهاية موفر التعريف.
- للتحقق من ADFS Webex الذي يعتمد على تكوين الطرف، انقر هنا.
- عندما يبدو التكوين جيدًا، تحقق من سجلات عارض الحدث.
- تحقق من وجود أخطاء ADFS في سجلات Windows:
- في سجلات Windows، ابحث عن رمز الخطأ 364 الخاص بسجل أحداث ADFS. تحدد تفاصيل الحدث شهادة غير صالحة. في هذه الحالات، لا يسمح لمضيف ADFS من خلال جدار الحماية الموجود على المنفذ 80 للتحقق من صحة الشهادة.
- السماح بوصول موفر التعريف إلى المنفذ 80 من خلال جدار حماية إلى الإنترنت، حتى يتمكن من إجراء فحوصات CRL.
- إذا كان المنفذ مفتوحًا، فاتبع ذلك مع Microsoft وجدار الحماية الخاص بها.
- إذا لم يكن المنفذ 80 مفتوحًا على جدار الحماية أو لم تعمل فحوصات CRL، فقم بتعطيل CRL.
- على خادم ADFS > انقر فوق عارض الأحداث > التطبيقات > ADFS > المسؤول > البحث عن سجل الأخطاء في الطابع الزمني الذي قمت بنسخه من تسجيل الدخول. إذا رأيت الخطأ التالي:
الخطأ: "تمت مواجهة خطأ أثناء طلب الاتحاد السلبي.
اسم بروتوكول البيانات
الإضافية: الطرف المعول على سامل
: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
تفاصيل الاستثناء:
الإضافية: الطرف المعول على سامل
: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
تفاصيل الاستثناء:
Microsoft.IdentityServer.Service.SecurityTokenService.RecancelValidationException: MSIS3014: شهادة تشفير ثقة الطرف المعول "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' المحددة ببصمة الإبهام '754B9208F1F75C5CC962750F3675C5D129471D80' غير صالحة. قد يشير إلى أن الشهادة قد تم إلغاؤها أو انتهت صلاحيتها أو أن سلسلة الشهادات غير موثوق بها.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) على Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) على Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, httpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityTokenToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, httpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityTokenToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
وإليكم القرار:
- افتح Powershell على ADFS كمسؤول وقم بتشغيل الأمر:
Get-AdfsRelyingPartyTrust -Identifier ''https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx | Set-AdfsRelyingPartyTrust -SigningCertificateRecancelCheck None -EncryptionCertificateRecancelcheck None
ملاحظة:
- تأكد من إدخال عنوان URL الخاص بالمعرّف في علامات الاقتباس ويمكن العثور على عنوان URL الخاص بالمعرّف في رسالة الخطأ، وانسخه ولصقه.
- يجب أن يستخدم Webex for Government (FedRAMP) Control Hub idbroker-f.webex.com بدلاً من idbroker.webex.com.
أو
- افتح Powershell على ADFS كمسؤول وقم بتشغيل الأمر:
Get-AdfsDependentPartyTrust -الاسم "Cisco Webex" | Set-AdfsDependentPartyTrust -SignCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
ملاحظة:تأكد من إدخال اسم ثقة الطرف المجيب مثل العميل الوحيد الذي تم إنشاؤه على ADFS الخاص به وبأسعار مزدوجة.
- اختبر الدخول الموحد (SSO) على مركز التحكم للتحقق.
هل كان هذا المقال مفيدًا؟
