Selhání přihlášení jednotného přihlašování při obnově certifikátu SP prostřednictvím služby ADFS jako IDP

Selhání přihlášení jednotného přihlašování při obnovování certifikátu SP prostřednictvím služby ADFS jako IDP.

Selhání jednotného přihlašování při aktualizaci nového certifikátu SP na IdP (ADFS).

Chyba: Neplatný stavový kód v odpovědi.

Kroky k prozkoumání:

  1. Zachycení trasování SAML pro nalezení odpovědi SAML
Obrázek přidaný uživatelem
  • Otevřete Poznámkový blok ++, pro instalaci Klikněte zde
    • Vložte zprávu a vyhledejte odpověď SAML přímo v jazyce XML.
  1. Zkontrolujte, jestli jsou atributy přítomny v odpovědi SAML od IdP
  2. Pokud nevidíte žádné atributy, znamená to, že webex je nepřijímá od IdP. Proto je třeba problém prošetřit z konce IdP
  3. Zkontrolujte konfiguraci předávající strany služby ADFS Webex Klikněte zde
  4. Když konfigurace vypadá dobře, zkontrolujte protokoly prohlížeče událostí
  5. Zkontrolujte chyby služby ADFS v protokolech systému Windows:
  • V protokolech systému Windows vyhledejte kód chyby protokolu událostí služby ADFS 364. Podrobnosti o události identifikují neplatný certifikát. V těchto případech není hostitel služby ADFS povolen průchod bránou firewall na portu 80 k ověření certifikátu.
  • Povolte zprostředkovateli identity přístup k portu 80 přes bránu firewall do Internetu, aby mohl provádět kontroly seznamu odvolaných certifikátů.
    • Pokud je port otevřený, postupujte podle společnosti Microsoft a jejího firewallu.
    • Pokud port 80 není v bráně firewall otevřený nebo kontroly seznamu CRL nefungují, zakažte seznam CRL
  1. Na serveru služby ADFS > klepněte na položku Aplikace prohlížeče událostí > > služba ADFS > Admin > vyhledejte protokol chyb v časovém razítku, které jste replikovali přihlášení. Pokud se zobrazí následující chyba:
Chyba: "Došlo k chybě během pasivního požadavku federace.
Název protokolu pro další
data: Saml
Relying Party: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Podrobnosti o výjimce:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Šifrovací certifikát vztahu důvěryhodnosti předávající strany "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identifikovaný kryptografickým otiskem "754B9208F1F75C5CC962750F3675C5D129471D80" není platný. Může to znamenat, že certifikát byl odvolán, vypršela jeho platnost nebo že řetěz certifikátů není důvěryhodný.
v Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult výsledek)
v Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(výsledek IAsyncResult) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String & newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
ve společnosti Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
ve společnosti Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Zde je rozlišení:
  • Otevřete Powershell ve službě ADFS jako správce a spusťte příkaz:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Poznámka: Nezapomeňte zadat adresu URL identifikátoru do uvozovek a adresu URL identifikátoru najdete v chybové zprávě, zkopírujte ji a vložte
 
NEBO
  • Otevřete Powershell na ADFS jako správce a spusťte příkaz,
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None
 
Poznámka: Nezapomeňte zadat název vztahu důvěryhodnosti strany, která odpovídá, stejný jako název vztahu zákazníka vytvořeného ve službě ADFS a ve dvojitých uvozovkách.
  • Otestujte jednotné přihlašování v centru řízení a ověřte.

Byl tento článek užitečný?