SSO вход отказ при подновяване на сертификата SP чрез ADFS като IDP

SSO вход отказ при подновяване на сертификата SP чрез ADFS като IDP.

SSO отказ при актуализиране на нов SP сертификат на IdP (ADFS).

Грешка: Невалиден код на статус в отговора.

Стъпки за разследване:

Заснемете SAML следа, за да намерите SAML отговора:

Добавете добавката SAML Message Decoder към браузъра:
За Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
За Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Отворете плъгина и кликнете върху Копирайте това съобщение.

Отворете Notepad++, за да инсталирате Щракнете тук.
- Поставете съобщението, за да намерите SAML отговор на XML език директно.

Проверете дали атрибутите присъстват в SAML отговора от IdP.
Ако не виждате никакви атрибути, това означава, че Webex не ги получава от IdP. Следователно въпросът трябва да бъде разследван от края на IdP.
За да проверите ADFS Webex разчита на конфигурацията на страната, щракнете тук.
Когато конфигурацията изглежда добре, проверете регистрационните файлове на визуализатора на събития.
Проверете за ADFS грешки в регистрационните файлове на Windows:

В регистрационните файлове на Windows потърсете ADFS код на грешка в регистъра на събитията 364. Подробностите за събитието идентифицират невалиден сертификат. В тези случаи ADFS хост не е разрешено чрез защитната стена на порт 80 за валидиране на сертификата.
Позволете достъп на IdP до порт 80 през защитна стена до интернет, така че да може да извършва CRL проверки.
- Ако портът е отворен, следвайте Microsoft и неговата защитна стена.
- Ако порт 80 не е отворен на защитната стена или CRL проверки не работи, тогава деактивирайте CRL.

На ADFS сървър > Кликнете върху event Viewer > приложения > ADFS > администратор > търсене на регистрационния файл за грешки на време-печат сте редиширали влизането. Ако видите следната грешка:

Грешка: „Възникнала е грешка по време на федерация пасивна заявка.

Име на протокол за допълнителни данни
: Самл
Разчитаща Страна: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Подробности за изключението:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationВалидиранеЕксцепт: MSIS3014: Сертификатът за криптиране на доверителното доверие на разчитащата страна "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' идентифициран с отпечатък на палец "754B9208F1F75C5CC962750F3675C5D129471D80" не е валиден. Може да показва, че сертификатът е отменен, изтекъл е или че веригата на сертификатите не е надеждна.

на Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult резултат)

на Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult резултат) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String & newSamlSession, String & samlpAuthenticationProvider, Булев isUrlTranslationNeeded, WrappedHttpListenerContext context, Булев isKmsiRequested)на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Булев isKmsiRequested, Булев isApplicationProxyTokenRequired, String & samlpSessionState, String & samlpAuthenticationProvider)наMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Булев isKmsiRequested, Булев isApplicationProxyTokenRequired) на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)на Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)на Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Ето резолюцията:

Отворете Powershell на ADFS като администратор и изпълнете командата:

Get-AdfsRelyingPartyТръст -Идентификатор 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyТръст -ПодписванеСертификатRevocationПроверка няма -ШифрованеСертификатRevocationПроверка няма

Забележка:

Уверете се, че въведете URL адреса на идентификатора в кавичките и URL адресът на идентификатора може да бъде намерен в съобщението за грешка; копирайте го и го поставете.
Контролният център на Webex for Government (FedRAMP) трябва да използва https://admin-usgov.webex.com/.

ИЛИ

Отворете Powershell на ADFS като администратор и изпълнете командата:

Get-AdfsRelyingPartyТръст -Име "Cisco Webex" | Set-AdfsRelyingPartyТръст -ПодписванеСертификатRevocationПроверка няма -ШифрованеСертификатRevocationПроверка няма

Забележка:Уверете се, че сте въвели името на доверието на отговорната страна, същото като този клиент, създаден на неговия ADFS и в двойни кавички.

Тествайте SSO на контролния концентратор, за да проверите.

Благодарим за обратната връзка.