Byl tento článek užitečný?
Děkujeme za vaši zpětnou vazbu.
Selhání přihlášení jednotného přihlašování při obnově certifikátu SP prostřednictvím služby ADFS jako IDP
Zpětná vazba?Selhání přihlášení jednotného přihlašování při obnovování certifikátu SP prostřednictvím služby ADFS jako IDP.
Selhání jednotného přihlašování při aktualizaci nového certifikátu SP na IdP (ADFS).
Chyba: Neplatný kód stavu v odpovědi.
Kroky k prozkoumání:
- Zachyťte stopu SAML pro nalezení odpovědi SAML:
- Přidejte plugin SAML Message Decoder do prohlížeče:
Pro Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Pro Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Otevřete plugin a klikněte na Kopírovat tuto zprávu.
- Otevřete aplikaci Poznámkový blok++ a nainstalujte aplikaci Klikněte sem.
- Vložte zprávu a vyhledejte odpověď SAML přímo v jazyce XML.
- Zkontrolujte, zda jsou atributy přítomny v odpovědi SAML od IdP.
- Pokud nevidíte žádné atributy, znamená to, že webex je nepřijímá od IdP. Proto je třeba problém prošetřit z konce IdP.
- Chcete-li zkontrolovat konfiguraci služby ADFS Webex založené na straně, klikněte sem.
- Když konfigurace vypadá dobře, zkontrolujte protokoly prohlížeče událostí.
- Zkontrolujte chyby služby ADFS v protokolech systému Windows:
- V protokolech systému Windows vyhledejte kód chyby protokolu událostí služby ADFS 364. Podrobnosti o události identifikují neplatný certifikát. V těchto případech není hostitel služby ADFS povolen průchod bránou firewall na portu 80 k ověření certifikátu.
- Povolte zprostředkovateli identity přístup k portu 80 přes bránu firewall do Internetu, aby mohl provádět kontroly seznamu odvolaných certifikátů.
- Pokud je port otevřený, postupujte podle společnosti Microsoft a jejího firewallu.
- Pokud port 80 není v bráně firewall otevřený nebo kontroly seznamu CRL nefungují, zakažte seznam CRL.
- Na serveru služby ADFS > klepněte na položku Aplikace prohlížeče událostí > > služba ADFS > Admin > vyhledejte protokol chyb v časovém razítku, které jste replikovali přihlášení. Pokud se zobrazí následující chyba:
Chyba: „Došlo k chybě během pasivního požadavku federace.
Název protokolu pro další data
: Saml
Relying Party: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Podrobnosti o výjimce:
: Saml
Relying Party: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Podrobnosti o výjimce:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Šifrovací certifikát vztahu důvěryhodnosti předávající strany "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identifikovaný kryptografickým otiskem "754B9208F1F75C5CC962750F3675C5D129471D80" není platný. Může to znamenat, že certifikát byl odvolán, vypršela jeho platnost nebo že řetěz certifikátů není důvěryhodný.
v Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult výsledek)
v Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult výsledek) v Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) v Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)atMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext kontext, Řetězec relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext kontext, SecurityToken securityToken, SecurityToken deviceSecurityToken)v Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)na adrese Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)na Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Zde je rozlišení:
- Otevřete Powershell ve službě ADFS jako správce a spusťte příkaz:
Get-AdfsRelyingPartyTrust -Identifikátor „https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx“ | Set-AdfsRelyingPartyTrust-SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Poznámka:
- Nezapomeňte zadat adresu URL identifikátoru do uvozovek a adresu URL identifikátoru najdete v chybové zprávě, zkopírujte ji a vložte.
- Webex for Government (FedRAMP) musí používat https://admin-usgov.webex.com/.
NEBO
- Otevřete Powershell ve službě ADFS jako správce a spusťte příkaz:
Get-AdfsRelyingPartyTrust-Název „Cisco Webex“ | Set-AdfsRelyingPartyTrust-SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Poznámka: Nezapomeňte zadat název vztahu důvěryhodnosti strany, která odpovídá, stejný jako název vztahu zákazníka vytvořeného ve službě ADFS a ve dvojitých uvozovkách.
- Otestujte jednotné přihlašování v centru řízení a ověřte.
Byl tento článek užitečný?
