Selhání přihlášení jednotného přihlašování při obnově certifikátu SP prostřednictvím služby ADFS jako IDP

Selhání přihlášení jednotného přihlašování při obnovování certifikátu SP prostřednictvím služby ADFS jako IDP.

Selhání jednotného přihlašování při aktualizaci nového certifikátu SP na IdP (ADFS).

Chyba: Neplatný stavový kód v odpovědi.

Kroky k prozkoumání:

Zachyťte stopu SAML pro nalezení odpovědi SAML:

Přidejte plugin SAML Message Decoder do prohlížeče:
Pro prohlížeč Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=cs
Pro prohlížeč Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Otevřete modul plug-in a klikněte na Kopírovat tuto zprávu.

Otevřete aplikaci Poznámkový blok++ a nainstalujte aplikaci Klikněte sem.
- Vložte zprávu a vyhledejte odpověď SAML přímo v jazyce XML.

Zkontrolujte, zda jsou atributy přítomny v odpovědi SAML od IdP.
Pokud nevidíte žádné atributy, znamená to, že webex je nepřijímá od IdP. Proto je třeba problém prošetřit z konce IdP.
Chcete-li zkontrolovat konfiguraci služby ADFS Webex založené na straně, klikněte sem.
Když konfigurace vypadá dobře, zkontrolujte protokoly prohlížeče událostí.
Zkontrolujte chyby služby ADFS v protokolech systému Windows:

V protokolech systému Windows vyhledejte kód chyby protokolu událostí služby ADFS 364. Podrobnosti o události identifikují neplatný certifikát. V těchto případech není hostitel služby ADFS povolen průchod bránou firewall na portu 80 k ověření certifikátu.
Povolte zprostředkovateli identity přístup k portu 80 přes bránu firewall do Internetu, aby mohl provádět kontroly seznamu odvolaných certifikátů.
- Pokud je port otevřený, postupujte podle společnosti Microsoft a jejího firewallu.
- Pokud port 80 není v bráně firewall otevřený nebo kontroly seznamu CRL nefungují, zakažte seznam CRL.

Na serveru služby ADFS > klikněte na položku Aplikace prohlížeče událostí > služba ADFS > Admin > vyhledejte protokol chyb v časovém razítku, které jste replikovali přihlášení. Pokud se zobrazí následující chyba:

Chyba: "Došlo k chybě během pasivního požadavku federace.

Další data
Název protokolu: Šablona: Saml
Předávající strana: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Podrobnosti o výjimkách:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: msis3014: Šifrovací certifikát vztahu důvěryhodnosti předávající strany „https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx“ identifikovaný otiskem prstů „754B9208F1F75C5CC962750F3675C5D129471D80“ není platný. Může to znamenat, že certifikát byl odvolán, vypršela jeho platnost nebo že řetěz certifikátů není důvěryhodný.

v Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult výsledek)

v Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult výsledek) v Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) v Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
na adrese Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
na Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Zde je rozlišení:

Otevřete Powershell ve službě ADFS jako správce a spusťte příkaz:

Get-AdfsRelyingPartyTrust -Identifier „https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx“ | Set-AdfsRelyingPartyTrust-SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Poznámka:

Nezapomeňte zadat adresu URL identifikátoru do uvozovek a adresu URL identifikátoru najdete v chybové zprávě, zkopírujte ji a vložte.
Ovládací centrum služby Webex for Government (FedRAMP) musí používat https://admin-usgov.webex.com/.

nebo

Otevřete Powershell ve službě ADFS jako správce a spusťte příkaz:

Get-AdfsRelyingPartyTrust -Název „Cisco Webex“ | Set-AdfsRelyingPartyTrust-SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Poznámka: Nezapomeňte zadat název vztahu důvěryhodnosti strany, která odpovídá, stejný jako název vztahu zákazníka vytvořeného ve službě ADFS a ve dvojitých uvozovkách.

Otestujte jednotné přihlašování v centru řízení a ověřte.

Děkujeme za vaši zpětnou vazbu.

Selhání přihlášení jednotného přihlašování při obnovování certifikátu SP prostřednictvím služby ADFS jako IDP.

Selhání jednotného přihlašování při aktualizaci nového certifikátu SP na IdP (ADFS).

Chyba: Neplatný stavový kód v odpovědi.

Malá firma

Podnik

Zařízení

Řešení pro

Zdroje

Společnost