SSO вход отказ при подновяване на сертификата SP чрез ADFS като IDP

SSO вход отказ при подновяване на сертификата SP чрез ADFS като IDP.

SSO отказ при актуализиране на нов SP сертификат на IdP (ADFS).

Грешка : Невалиден код на състояние в отговор.

Стъпки за разследване:

Заснемете SAML проследяване, за да намерите SAML отговора:

Добавете SAML декодер на съобщения плъгин към браузъра:
За Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
За Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Отворете плъгина и кликнете върху Копирайте това съобщение.

Отворете Notepad++, за да инсталирате Щракнете тук .
- Поставете съобщението, за да намерите SAML отговор на XML език директно.

Проверете дали атрибутите присъстват в SAML отговора от IdP.
Ако не виждате никакви атрибути, това означава, че Webex не ги получава от IdP. Следователно проблемът трябва да бъде проучен от страна на IdP.
За да проверите ADFS Webex , разчитайки на партийна конфигурация, Щракнете тук .
Когато конфигурацията изглежда добре, проверете регистрационните файлове за преглед на събития.
Проверете за ADFS грешки в регистрационните файлове на Windows:

В регистрационните файлове на Windows потърсете ADFS код на грешка в регистъра на събитията 364. Подробностите за събитието идентифицират невалиден сертификат. В тези случаи ADFS хост не е разрешено чрез защитната стена на порт 80 за валидиране на сертификата.
Разрешете достъп на IdP до порт 80 през защитна стена към интернет, за да може да извършва CRL проверки.
- Ако портът е отворен, продължете с Microsoft и неговата защитна стена.
- Ако порт 80 не е отворен на защитната стена или CRL проверките не работят, деактивирайте CRL.

На ADFS сървър > Кликнете върху event Viewer > приложения > ADFS > администратор > търсене на регистрационния файл за грешки на време-печат сте редиширали влизането. Ако видите следната грешка:

Грешка: "Срещната грешка по време на федерация пасивно искане.

Име на протокол за допълнителни
данни: Самл
Разчитаща Страна: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Подробности за изключението:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationВалидиранеЕксцепт: MSIS3014: Сертификатът за криптиране на доверителното доверие на разчитащата страна "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' идентифициран с отпечатък на палец "754B9208F1F75C5CC962750F3675C5D129471D80" не е валиден. Може да показва, че сертификатът е отменен, изтекъл е или че веригата на сертификатите не е надеждна.

на Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult резултат)

на Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult резултат) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(ИсканеSecurityToken заявка, IList1& идентичностClaimSet, Списък1 допълнителниОбявления) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(ИсканеSecurityToken заявка, Списък1 допълнителниОбявления)
на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestИздаване на httpSamlRequestИздаване, SecurityTokenЕлемент отОт името на, Низа сесияСъстояние, Низ релеТате, Низ& новSamlSession, Низ& samlpAuthenticationProvider, Булев isUrlTranslationNeeded, WrappedHttpListenerКонтекст контекст, Булев isKmsiRequested)
на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerКонтекст контекст, HttpSamlRequestИздаване httpSamlRequest, SecurityTokenElement onBehalfOf, Низ, разчитащPartyIdentifier, Булев isKmsiRequested, Булев еПрилаганеProxyTokenИзисква се, Низ& samlpSessionState, Низ& samlpAuthenticationProvider)на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestИздаване на httpSamlRequest, ОбвитHttpListenerКонтекст контекст, Низ, разчитащPartyИдентификатор, СигурностTokenЕлемент знакOnTokenElement, Булев isKmsiRequested, булев еПриложениеProxyTokenRequired) на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreСята сигурностToken(SamlSignInContext контекст, СигурностЖелание за сигурностОткриване на
сигурността на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.process(протоколКонтекст контекст) на
Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ПротоколКонтекст протоколКонтекст, Протокол passiveProtocolHandlerHandler)
на Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerКонтекст контекст)"

Ето резолюцията:

Отворете Powershell на ADFS като администратор и изпълнете командата:

Get-AdfsRelyingPartyТръст -Идентификатор ' https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyТръст -ПодписванеСертификатRevocationПроверка няма -КриптиранеСертификатRevocationПроверете няма

Забележка:

Уверете се, че сте въвели URL на идентификатора в кавички и URL на идентификатора може да бъде намерен в съобщение за грешка, копирайте го и го поставете.
Трябва да се използва Webex for Government (FedRAMP) Control Hub idbroker-f.webex.com вместо idbroker.webex.com .

ИЛИ

Отворете Powershell на ADFS като администратор и изпълнете командата:

Get-AdfsRelyingPartyTrust -Име "Cisco Webex"| Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Забележка : Уверете се, че сте въвели името на доверието на отговарящата страна, същото като този клиент, създаден в неговия ADFS, и в двойни кавички.

Тествайте SSO на контролния концентратор, за да проверите.