هل كان هذا المقال مفيدًا؟
شكرًا على ملاحظاتك.
فشل تسجيل الدخول الموحد (SSO) عند تجديد شهادة SP من خلال ADFS كموفر دولة
هل لديك ملاحظات؟فشل تسجيل الدخول إلى SSO عند تجديد شهادة SP من خلال ADFS كIDP.
فشل SSO عند تحديث شهادة SP الجديدة على IdP (ADFS).
خطأ: رمز الحالة غير صالح في الاستجابة.
خطوات التحقيق:
- قم بالتقاط أثر SAML للعثور على استجابة SAML:
- أضف المكون الإضافي أداة فك تشفير رسائل SAML إلى المستعرض:
بالنسبة إلى Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
لمتصفح Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - افتح الوظيفة الإضافية وانقر على نسخ هذه الرسالة.
- افتح Notepad++، لتثبيت انقر هنا.
- الصق الرسالة للعثور على استجابة SAML بلغة XML مباشرةً.
- تحقق مما إذا كانت السمات موجودة في استجابة SAML من موفر التعريف.
- إذا كنت لا ترى أي سمات، يعني هذا أن Webex لا يتلقاها من موفر التعريف. وبالتالي، يجب التحقيق في المشكلة من نهاية موفر التعريف.
- للتحقق من ADFS Webex الذي يعتمد على تكوين الطرف، انقر هنا.
- عندما يبدو التكوين جيدًا، تحقق من سجلات عارض الحدث.
- التحقق من وجود أخطاء ADFS في سجلات Windows:
- في سجلات Windows، ابحث عن رمز خطأ سجل حدث ADFS رقم 364. تحدد تفاصيل الحدث شهادة غير صالحة. في هذه الحالات، لا يُسمح بمضيف ADFS من خلال جدار الحماية على المنفذ 80 للتحقق من صحة الشهادة.
- اسمح لموفر التعريف بالوصول إلى المنفذ 80 من خلال جدار حماية يصل إلى الإنترنت، حتى يتمكن من إجراء فحوص CRL.
- إذا كان المنفذ مفتوحًا، فقم بالمتابعة باستخدام Microsoft وجدار الحماية الخاص بها.
- إذا لم يكن المنفذ 80 مفتوحًا على جدار الحماية أو كانت فحوص CRL لا تعمل، فقم بتعطيل CRL.
- على خادم ADFS > انقر على عارض الأحداث > التطبيقات > ADFS > المسؤول > ابحث عن سجل الخطأ في الطابع الزمني الذي قمت بتكرار تسجيل الدخول. إذا رأيت الخطأ التالي:
الخطأ: "واجهنا خطأ أثناء طلب الاتحاد السلبي.
بيانات إضافية
اسم البروتوكول: سامل
الطرف المعتمد: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
تفاصيل الاستثناء:
اسم البروتوكول: سامل
الطرف المعتمد: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
تفاصيل الاستثناء:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: msis3014: شهادة تشفير ثقة الطرف المعتمد 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' المحددة بواسطة بصمة الإبهام '754B9208F1F75C5CC962750F3675C5D129471D80' غير صالحة. قد يشير إلى أن الشهادة تم إبطالها أو انتهاء صلاحيتها أو أن سلسلة الشهادات غير موثوق فيها.
في Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult نتيجة)
في Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult نتيجة) في Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(طلب RequestSecurityToken، IList1& identityClaimSet، List1 additionalClaims) في Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(طلب RequestSecurityToken، List1 additionalClaims)
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage، SecurityTokenElement onBehalfOf، String sessionState، String relayState، String&newSamlSession، String&samlpAuthenticationProvider، Boolean isUrlTranslationNeeded، WrappedHttpListenerContext context، Boolean isKmsiRequested)
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext، HttpSamlRequestMessage httpSamlRequest، SecurityTokenElement بالنيابة عن، String reyingPartyIdentifier، Boolean isKmsiRequested، Boolean isApplicationProxyTokenRequired، String & samlpSessionState، String & samlpAuthenticationProvider)في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest، WrappedHttpListenerContext context، String reyingPartyIdentifier، SecurityToken signOnTokenElement، Boolean is
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
في Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext، PassiveProtocolHandler protocolHandler)
في Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage، SecurityTokenElement onBehalfOf، String sessionState، String relayState، String&newSamlSession، String&samlpAuthenticationProvider، Boolean isUrlTranslationNeeded، WrappedHttpListenerContext context، Boolean isKmsiRequested)
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext، HttpSamlRequestMessage httpSamlRequest، SecurityTokenElement بالنيابة عن، String reyingPartyIdentifier، Boolean isKmsiRequested، Boolean isApplicationProxyTokenRequired، String & samlpSessionState، String & samlpAuthenticationProvider)في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest، WrappedHttpListenerContext context، String reyingPartyIdentifier، SecurityToken signOnTokenElement، Boolean is
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
في Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext، PassiveProtocolHandler protocolHandler)
في Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
ها هي الدقة:
- افتح Powershell على ADFS كمسؤول وقم بتشغيل الأمر:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
ملاحظة:
- تأكد من إدخال عنوان URL الخاص بالمعرف في علامات الاقتباس وإمكانية العثور على عنوان URL الخاص بالمعرف في رسالة الخطأ، قم بنسخه ولصقه.
- يجب أن يستخدم Webex for Government (FedRAMP) Control Hub https://admin-usgov.webex.com/.
أو
- افتح Powershell على ADFS كمسؤول وقم بتشغيل الأمر:
احصل على AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
ملاحظة: تأكد من إدخال اسم ثقة الطرف المجيب بنفس اسم العميل الوحيد الذي تم إنشاؤه على ADFS الخاص به وفي علامات اقتباس مزدوجة.
- اختبر تسجيل الدخول الفردي في Control Hub للتحقق.
هل كان هذا المقال مفيدًا؟
