Selhání přihlášení jednotného přihlašování při obnově certifikátu SP prostřednictvím služby ADFS jako IDP

Selhání přihlášení jednotného přihlašování při obnovování certifikátu SP prostřednictvím služby ADFS jako IDP.

Selhání jednotného přihlašování při aktualizaci nového certifikátu SP na IdP (ADFS).

Chyba: Neplatný stavový kód v odpovědi.

Kroky k prozkoumání:

Zachyťte stopu SAML a zjistěte odpověď SAML:

Přidat modul SAML Message Decoder plugin do prohlížeče:
Pro Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Pro Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Otevřete plugin a klikněte na Kopírovat tuto zprávu.

Otevřete Poznámkový blok++, pro instalaci klikněte sem.
- Vložte zprávu a vyhledejte odpověď SAML přímo v jazyce XML.

Zkontrolujte, zda jsou atributy přítomny v odpovědi SAML od Idp.
Pokud nevidíte žádné atributy, znamená to, že webex je nepřijímá od IdP. Z tohoto důvodu je třeba tuto otázku prošetřit od konce programu Idp.
Chcete-li zkontrolovat službu ADFS Webex, která se spoléhá na konfiguraci strany, klikněte sem.
Když konfigurace vypadá dobře, zkontrolujte protokoly prohlížeče událostí.
Zkontrolujte chyby služby ADFS v protokolech systému Windows:

V protokolech systému Windows vyhledejte kód chyby protokolu událostí služby ADFS 364. Podrobnosti o události identifikují neplatný certifikát. V těchto případech není hostitel služby ADFS povolen průchod bránou firewall na portu 80 k ověření certifikátu.
Povolte aplikaci Idp přístup k portu 80 přes bránu firewall na internet, aby mohla provádět kontroly seznamu CRL.
- Pokud je port otevřen, proveďte postup se společností Microsoft a jejím firewallem.
- Pokud port 80 není na bráně firewall otevřen nebo kontroly seznamu CRL nefungují, zakažte seznam CRL.

Na serveru služby ADFS > klepněte na položku Aplikace prohlížeče událostí > > služba ADFS > Admin > vyhledejte protokol chyb v časovém razítku, které jste replikovali přihlášení. Pokud se zobrazí následující chyba:

Chyba: "Došlo k chybě během pasivního požadavku federace.

Název protokolu pro další
data: Saml
Relying Party: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Podrobnosti o výjimce:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Šifrovací certifikát vztahu důvěryhodnosti předávající strany "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identifikovaný kryptografickým otiskem "754B9208F1F75C5CC962750F3675C5D129471D80" není platný. Může to znamenat, že certifikát byl odvolán, vypršela jeho platnost nebo že řetěz certifikátů není důvěryhodný.

v Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult výsledek)

v Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(výsledek IAsyncResult) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String & newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
ve společnosti Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
ve společnosti Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Zde je usnesení:

Otevřete Powershell ve službě ADFS jako správce a spusťte příkaz:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Poznámka:

Nezapomeňte zadat adresu URL identifikátoru do uvozovek a adresu URL identifikátoru najdete v chybové zprávě, zkopírujte ji a vložte.
Řídicí centrum Webex for Government ( RAMP) musí používat idbroker-f.webex.com místo idbroker.webex.com.

NEBO

Otevřete Powershell ve službě ADFS jako správce a spusťte příkaz:

Get-Ad Re Trust -Name „Cisco Webex“ | Set-Ad Re Trust - Revo Check None -Encry Revo Check None

Poznámka:Ujistěte se, že zadáte název důvěryhodnosti odpovídající strany stejný jako jméno zákazníka vytvořeného ve službě ADFS a ve dvojitých uvozovkách.

Otestujte jednotné přihlašování v centru řízení a ověřte.