SSO вход отказ при подновяване на сертификата SP чрез ADFS като IDP

SSO вход отказ при подновяване на сертификата SP чрез ADFS като IDP.

SSO грешка при актуализиране на нов SP сертификат на IdP (ADFS).

Грешка : Невалиден код на статус в отговор.

Стъпки за разследване:

Заснемете SAML следа, за да намерите SAML отговора:

Добавете добавката SAML Message Decoder към браузъра:
За Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
За Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Отворете плъгина и щракнете върху Копиране на това съобщение.

Отворете Notepad++, за да инсталирате Щракнете тук.
- Поставете съобщението, за да намерите SAML отговора на XML език директно.

Проверете дали атрибутите присъстват в SAML отговора от IdP.
Ако не виждате никакви атрибути, това означава, че Webex не ги получава от IdP. Следователно въпросът трябва да бъде разследван от края на IdP.
За да проверите ADFS Webex разчита на конфигурацията на страната, щракнете тук.
Когато конфигурацията изглежда добре, проверете регистрационните файлове на визуализатора на събития.
Проверете за ADFS грешки в регистрационните файлове на Windows:

В регистрационните файлове на Windows потърсете ADFS код на грешка в регистъра на събитията 364. Подробностите за събитието идентифицират невалиден сертификат. В тези случаи хостът ADFS не е разрешен през защитната стена на порт 80 за валидиране на сертификата.
Позволете достъп на IdP до порт 80 през защитна стена до интернет, така че да може да извършва CRL проверки.
- Ако портът е отворен, следвайте Microsoft и неговата защитна стена.
- Ако порт 80 не е отворен на защитната стена или CRL проверки не работи, тогава деактивирайте CRL.

На ADFS сървър > щракнете върху Визуализатор на събития > приложения > ADFS > администратор > търсене на регистрационния файл за грешки на времевата марка сте репликирали влизането. ADFS > администратор > търсене на регистрационния файл за грешки на времевата марка сте репликирали влизането. Ако видите следната грешка:

Грешка: "Възникна грешка по време на федерация пасивно искане.

Допълнителни данни
Име на протокол: Самл
Разчитаща страна: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Подробности за изключението:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: msis3014: Сертификатът за шифроване на доверителното доверие на разчитащата страна „https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx“, идентифициран с отпечатък с палец „754B9208F1F75C5CC962750F3675C5D129471D80“, не е валиден. Може да показва, че сертификатът е анулиран, изтекъл е или че веригата на сертификатите не е надеждна.

на Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult резултат)

на Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult резултат) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String & newSamlSession, String & samlpAuthenticationProvider, Булев isUrlTranslationNeeded, WrappedHttpListenerContext context, Булев isKmsiRequested)
на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Булев isKmsiRequested, Булев isApplicationProxyTokenRequired, String & samlpSessionState, String & samlpAuthenticationProvider)на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTo
на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
на Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
на Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Ето резолюцията:

Отворете Powershell на ADFS като администратор и изпълнете командата:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck Няма -EncryptionCertificateRevocationCheck Няма

Забележка:

Уверете се, че въведете URL адреса на идентификатора в кавичките и URL адресът на идентификатора може да бъде намерен в съобщението за грешка; копирайте го и го поставете.
Контролният център на Webex for Government (FedRAMP) трябва да използва https://admin-usgov.webex.com/.

или

Отворете Powershell на ADFS като администратор и изпълнете командата:

Get-AdfsRelyingPartyТръст -Име "Cisco Webex" | Set-AdfsRelyingPartyТръст -ПодписванеСертификатRevocationПроверка няма -ШифрованеСертификатRevocationПроверка няма

Забележка:Уверете се, че сте въвели името на доверието на отговорната страна, същото като този клиент, създаден на неговия ADFS и в двойни кавички.

Тествайте SSO на контролния център, за да потвърдите.

Благодарим за обратната връзка.