فشل تسجيل الدخول الموحد (SSO) عند تجديد شهادة SP من خلال ADFS كموفر دولة

فشل تسجيل الدخول الموحد (SSO) عند تجديد شهادة SP من خلال ADFS كموفر الهوية.

فشل الدخول الموحد (SSO) عند تحديث شهادة SP جديدة على موفر الهوية (ADFS).

خطأ: رمز الحالة غير صالح ردا على ذلك.

خطوات التحقيق:

  1. التقاط تتبع SAML للعثور على استجابة SAML
صورة أضافها المستخدم
  • افتح المفكرة ++ ، للتثبيت انقر هنا
    • الصق الرسالة للعثور على استجابة SAML بلغة XML مباشرة.
  1. التحقق مما إذا كانت السمات موجودة في استجابة SAML من موفر الهوية
  2. إذا كنت لا ترى أي سمات، فهذا يعني أن Webex لا يتلقاها من موفر الهوية. وبالتالي يجب التحقيق في المشكلة من نهاية موفر الهوية
  3. تحقق من تكوين الطرف المعتمد على ADFS Webex انقر هنا
  4. عندما يبدو التكوين جيدا، تحقق من سجلات عارض الأحداث
  5. تحقق من وجود أخطاء ADFS في سجلات Windows:
  • في سجلات Windows، ابحث عن رمز الخطأ 364 الخاص بسجل أحداث ADFS. تحدد تفاصيل الحدث شهادة غير صالحة. في هذه الحالات، لا يسمح لمضيف ADFS من خلال جدار الحماية الموجود على المنفذ 80 للتحقق من صحة الشهادة.
  • اسمح لموفر الهوية بالوصول إلى المنفذ 80 من خلال جدار حماية إلى الإنترنت حتى يتمكن من إجراء فحوصات CRL.
    • إذا كان المنفذ مفتوحا ، فتابع مع Microsoft وجدار الحماية الخاص به.
    • إذا لم يكن المنفذ 80 مفتوحا على جدار الحماية أو لم تعمل عمليات التحقق من CRL ، فقم بتعطيل CRL
  1. على خادم ADFS > انقر فوق عارض الأحداث > التطبيقات > ADFS > المسؤول > البحث عن سجل الأخطاء في الطابع الزمني الذي قمت بنسخه من تسجيل الدخول. إذا رأيت الخطأ التالي :
الخطأ: "تمت مواجهة خطأ أثناء طلب الاتحاد السلبي.
اسم بروتوكول البيانات
الإضافية: الطرف المعول على سامل
: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
تفاصيل الاستثناء:
Microsoft.IdentityServer.Service.SecurityTokenService.RecancelValidationException: MSIS3014: شهادة تشفير ثقة الطرف المعول "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' المحددة ببصمة الإبهام '754B9208F1F75C5CC962750F3675C5D129471D80' غير صالحة. قد يشير إلى أن الشهادة قد تم إلغاؤها أو انتهت صلاحيتها أو أن سلسلة الشهادات غير موثوق بها.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) على Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) على Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, httpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityTokenToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)

at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

هنا هو القرار:
  • افتح Powershell على ADFS كمسؤول وقم بتشغيل الأمر:
Get-AdfsRelyingPartyTrust -Identifier ''https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx | Set-AdfsRelyingPartyTrust -SigningCertificateRecancelCheck None -EncryptionCertificateRecancelcheck None
ملاحظة: تأكد من إدخال عنوان URL للمعرف في علامات الاقتباس ويمكن العثور على عنوان URL للمعرف في رسالة الخطأ ونسخه ولصقه
 
أو
  • افتح Powershell على ADFS كمسؤول وقم بتشغيل الأمر ،
Get-adfsRelyingPartyTrust -name "Cisco Webex" | set-AdfsRelyingPartyTrust -signingCertificateRecancelCheck none-encryptionCertificateRecancelcheck none
 
ملاحظة: تأكد من إدخال اسم ثقة الطرف المجيب بنفس اسم العميل الذي تم إنشاؤه على ADFS الخاص به وفي علامات اقتباس مزدوجة.
  • اختبر الدخول الموحد (SSO) على مركز التحكم للتحقق.

هل كان هذا المقال مفيدًا؟