SSO вход отказ при подновяване на сертификата SP чрез ADFS като IDP

SSO вход отказ при подновяване на сертификата SP чрез ADFS като IDP.

SSO отказ при актуализиране на нов SP сертификат на IdP (ADFS).

Грешка : Невалиден код на състояние в отговор.

Стъпки за разследване:

  1. Заснемане на SAML следа, за да намерите SAML отговора
Изображение с добавена от потребителя
  • Отворете Notepad++, за да инсталирате Кликнете тук
    • Поставете съобщението, за да намерите SAML отговор на XML език директно.
  1. Проверете дали атрибутите присъстват в SAML отговор от IdP
  2. Ако не виждате никакви атрибути, това означава, че Webex не ги получава от IdP. Оттук въпросът трябва да бъде разследван от IdP край
  3. Проверете конфигурацията на ADFS Webex разчитаща страна Кликнете тук
  4. Когато конфигурацията изглежда добре, проверете регистрационните файлове на зрителите на събития
  5. Проверете за ADFS грешки в регистрационните файлове на Windows:
  • В регистрационните файлове на Windows потърсете ADFS код на грешка в регистъра на събитията 364. Подробностите за събитието идентифицират невалиден сертификат. В тези случаи ADFS хост не е разрешено чрез защитната стена на порт 80 за валидиране на сертификата.
  • Разрешаване на достъп на IDP до порт 80 през защитна стена до интернет, така че да може да извършва CRL проверки.
    • Ако портът е отворен след това следвайте Microsoft и неговата защитна стена.
    • Ако порт 80 не е отворен на защитната стена или CRL проверки не работи след това забраните CRL
  1. На ADFS сървър > Кликнете върху event Viewer > приложения > ADFS > администратор > търсене на регистрационния файл за грешки на време-печат сте редиширали влизането. Ако видите следната грешка :
Грешка: "Срещната грешка по време на федерация пасивно искане.
Име на протокол за допълнителни
данни: Самл
Разчитаща Страна: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Подробности за изключението:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationВалидиранеЕксцепт: MSIS3014: Сертификатът за криптиране на доверителното доверие на разчитащата страна "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' идентифициран с отпечатък на палец "754B9208F1F75C5CC962750F3675C5D129471D80" не е валиден. Може да показва, че сертификатът е отменен, изтекъл е или че веригата на сертификатите не е надеждна.
на Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult резултат)
на Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult резултат) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(ИсканеSecurityToken заявка, IList1& идентичностClaimSet, Списък1 допълнителниОбявления) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(ИсканеSecurityToken заявка, Списък1 допълнителниОбявления)
на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestИздаване на httpSamlRequestИздаване, SecurityTokenЕлемент отОт името на, Низа сесияСъстояние, Низ релеТате, Низ& новSamlSession, Низ& samlpAuthenticationProvider, Булев isUrlTranslationNeeded, WrappedHttpListenerКонтекст контекст, Булев isKmsiRequested)
на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerКонтекст контекст, HttpSamlRequestИздаване httpSamlRequest, SecurityTokenElement onBehalfOf, Низ, разчитащPartyIdentifier, Булев isKmsiRequested, Булев еПрилаганеProxyTokenИзисква се, Низ& samlpSessionState, Низ& samlpAuthenticationProvider)на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestИздаване на httpSamlRequest, ОбвитHttpListenerКонтекст контекст, Низ, разчитащPartyИдентификатор, СигурностTokenЕлемент знакOnTokenElement, Булев isKmsiRequested, булев еПриложениеProxyTokenRequired) на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreСята сигурностToken(SamlSignInContext контекст, СигурностЖелание за сигурностОткриване на
сигурността на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.process(протоколКонтекст контекст) на
Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ПротоколКонтекст протоколКонтекст, Протокол passiveProtocolHandlerHandler)
на Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerКонтекст контекст)"

Ето резолюцията :
  • Отворете Powershell на ADFS като администратор и изпълнете командата:
Get-AdfsRelyingPartyТръст -Идентификатор ' https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyТръст -ПодписванеСертификатRevocationПроверка няма -КриптиранеСертификатRevocationПроверете няма
Забележка: Уверете се, че въведете url адреса на идентификатора в офертите и url адресът на идентификатора може да бъде намерен в съобщението за грешка, копирайте го и го поставете
 
ИЛИ
  • Отворете Powershell на ADFS като администратор и изпълнете командата,
Get-AdfsRelyingPartyТръст -Име "Cisco Webex" | Комплект-AdfsRelyingPartyТръст -ПодписванеСертификатRevocationПроверка няма-криптиранеСертификатRevocationCheck Няма
 
Забележка: Уверете се, че въведете името на доверието на отговорната страна, същото като този, който е създаден на неговия ADFS и в двойни котировки.
  • Тествайте SSO на контролния концентратор, за да проверите.

Беше ли полезна тази статия?