فشل تسجيل الدخول إلى SSO عند تجديد شهادة SP من خلال ADFS كIDP
فشل تسجيل الدخول الفردي عند تجديد شهادة SP من خلال ADFS كمشرد داخلي IDP.
فشل تسجيل الدخول الفردي عند تحديث شهادة SP الجديدة على موفر التعريف (ADFS).
خطأ: رمز الحالة غير صالح في الرد.
خطوات التحقيق:
- التقط تتبع SAML للعثور على استجابة SAML:
- إضافة ملحق فك تشفير رسالة SAML إلى المستعرض:
لـ Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
بالنسبة لـ Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - افتح المكون الإضافي وانقر على نسخ هذه الرسالة.
- افتح المفكرة ++، للتثبيت انقر هنا.
- الصق الرسالة للعثور على استجابة SAML بلغة XML مباشرة.
- تحقق مما إذا كانت السمات موجودة في استجابة SAML من موفر التعريف.
- إذا كنت لا ترى أي سمات، فهذا يعني أن Webex لا يستلمها من موفر التعريف. وبالتالي، يجب التحقيق في المسألة من نهاية موفر التعريف.
- للتحقق من ADFS Webex الذي يعتمد على تكوين الطرف، انقر هنا.
- عندما يبدو التكوين جيدًا، تحقق من سجلات عارض الحدث.
- تحقق من أخطاء ADFS في سجلات Windows:
- في سجلات Windows، ابحث عن رمز الخطأ في سجل حدث ADFS 364. تحدد تفاصيل الحدث شهادة غير صالحة. في هذه الحالات، لا يُسمح لمضيف ADFS من خلال جدار الحماية في المنفذ 80 للتحقق من صحة الشهادة.
- السماح بوصول موفر التعريف إلى المنفذ 80 من خلال جدار حماية إلى الإنترنت، حتى يتمكن من إجراء فحوصات CRL.
- إذا كان المنفذ مفتوحًا، فاتبع ذلك مع Microsoft وجدار الحماية الخاص بها.
- إذا لم يكن المنفذ 80 مفتوحًا على جدار الحماية أو لم تعمل فحوصات CRL، فقم بتعطيل CRL.
- على خادم ADFS > انقر على Event Viewer > التطبيقات > ADFS > المسؤول > ابحث عن سجل الخطأ في الطابع الزمني الذي قمت بتكرار تسجيل الدخول فيه. إذا رأيت الخطأ التالي:
الخطأ: "حدث خطأ أثناء طلب الاتحاد السلبي.
اسم بروتوكول
البيانات الإضافية: الطرف
المعتمد لـ Saml: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
تفاصيل الاستثناء:
البيانات الإضافية: الطرف
المعتمد لـ Saml: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
تفاصيل الاستثناء:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: شهادة التشفير الخاصة بثقة الطرف المعوّل 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' المحددة بصمة إبهام '754B9208F1F <UNK> C5CC962750F3675C5D129471D80' غير صالحة. وقد يشير ذلك إلى أن الشهادة قد ألغيت أو انتهت صلاحيتها أو أن سلسلة الشهادات غير موثوق بها.
في Microsoft.IdentityModel.Threading.AsyncResult.End (نتيجة IAsyncResult)
في Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult) في Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(طلبSecurityToken، IList1& identityClaimSet، List1 additionalClaims) في Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(طلبSecurityToken، List1 additionalClaims)
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement بالنيابة عن, String sessionState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext, Boolean isKmsiRequested)
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement بالنيابة عن, String dependentPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext, String dependentPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext, SecurityToken securityToken, SecurityToken deviceSecurityToken)
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(سياق البروتوكول)
في Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
في Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext)"
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement بالنيابة عن, String sessionState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext, Boolean isKmsiRequested)
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement بالنيابة عن, String dependentPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext, String dependentPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext, SecurityToken securityToken, SecurityToken deviceSecurityToken)
في Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(سياق البروتوكول)
في Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
في Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext)"
وإليكم القرار:
- افتح Powershell على ADFS كمسؤول وقم بتشغيل الأمر:
Get-AdfsDependentPartyTrust -المعرّف https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx'| تعيين-AdfsDependentPartyTrust-SignCertificateإبطالCheck None -EncryptionCertificateإبطالCheckNone
ملاحظة:
- تأكد من إدخال عنوان URL الخاص بالمعرّف في علامات الاقتباس ويمكن العثور على عنوان URL الخاص بالمعرّف في رسالة الخطأ، وانسخه ولصقه.
- يجب أن يستخدم Webex for Government (FedRAMP) Control Hub https://admin-usgov.webex.com/.
أو
- افتح Powershell على ADFS كمسؤول وقم بتشغيل الأمر:
Get-AdfsDependentPartyTrust -الاسم "Cisco Webex" | Set-AdfsDependentPartyTrust -SignCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
ملاحظة:تأكد من إدخال اسم ثقة الطرف المجيب مثل العميل الوحيد الذي تم إنشاؤه على ADFS الخاص به وبأسعار مزدوجة.
- اختبر تسجيل الدخول الفردي على مركز التحكم للتحقق منه.
هل كان هذا المقال مفيدًا؟
