Var denne artikel nyttig?
Tak for din feedback.
SSO log ind-fejl ved fornyelse af SP-certifikatet via ADFS som IDP
Har du feedback?SSO fejl ved login under fornyelse af SP-certifikatet via ADFS som IDP.
SSO fejl under opdatering af nyt SP-certifikat på IdP (ADFS).
Fejl: Ugyldig statuskode i svar.
Trin til at undersøge:
- Optag et SAML-spor for at finde SAML-svaret:
- Tilføj plugin'et SAML-meddelelsesdekoder til browseren:
For Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Til Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Åbn plug-in'et, og klik på Kopier denne meddelelse.
- Åbn Notepad++, for at installere Klik her.
- Indsæt meddelelsen for at finde SAML-svaret på XML-sproget direkte.
- Kontrollér, om attributterne er til stede i SAML-svaret fra IdP.
- Hvis du ikke ser nogen attributter, betyder det, at Webex ikke modtager dem fra IdP. Derfor skal problemet undersøges fra IdP-slutpunktet.
- For at kontrollere den ADFS Webex, der er afhængig af partens konfiguration, Klik her.
- Når konfigurationen ser fint ud, skal du kontrollere logfilerne for begivenhedsvisning.
- Kontroller for ADFS-fejl i Windows-logfiler:
- I Windows-loggene skal du kigge efter ADFS-begivenhedslogfejlkode 364. Hændelsesoplysningerne identificerer et ugyldigt certifikat. I disse tilfælde har ADFS-værten ikke tilladelse til at validere certifikatet via firewallen på port 80.
- Tillad IdP-adgang til port 80 via en firewall til internettet, så den kan udføre CRL-kontroller.
- Hvis porten er åben, skal du følge op med Microsoft og dens firewall.
- Hvis port 80 ikke er åben på firewallen, eller CRL-kontroller ikke fungerer, skal du deaktivere CRL.
- På ADFS-server > klik på Begivenhedsvisning > Applikationer > ADFS > Admin > søg efter fejlloggen på det tidsstempel, du replikerede login. Hvis du ser følgende fejl:
Fejl: "Der opstod en fejl under anmodning om passiv sammenslutning.
Yderligere data
protokolnavn:
Saml-afhængig part: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Undtagelsesoplysninger:
protokolnavn:
Saml-afhængig part: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Undtagelsesoplysninger:
Microsoft.IdentityServer.Service.SecurityTokenService.TilbagekaldelseValidationException: MSIS3014: Krypteringscertifikatet fra tillidsparten ' identificeret med aftrykhttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' '754B9208F1F75C5CC962750F3675C5D129471D80' er ikke gyldigt. Det kan indikere, at certifikatet er blevet tilbagekaldt, er udløbet eller at certifikatkæden ikke er pålidelig.
på Microsoft.IdentityModel.Threading.ASyncResult.End(IAsyncResult-resultat)
på Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, StringRelayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerKontekst kontekst, Boolean isKmsiRequested)på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerKontekst kontekst, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)påMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerKontekst kontekst, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInKontekst kontekst, SecurityToken sikkerhedToken, SecurityToken deviceSecurityToken)på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext kontekst)på Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)på Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext kontekst)"
Her er opløsningen:
- Åbn Powershell på ADFS som administrator, og kør kommandoen:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertifikatTilbagekaldelseKontrollér ingen -KrypteringCertifikatTilbagekaldelseKontrollér ingen
Bemærk:
- Sørg for at indtaste identifikatorens URL-adresse i anførselstegn, og identifikatorens URL-adresse kan findes i fejlmeddelelsen, kopier og indsæt den.
- Webex for Government (FedRAMP) Control Hub skal bruge https://admin-usgov.webex.com/.
ELLER
- Åbn Powershell på ADFS som administrator, og kør kommandoen:
Get-AdfsRelyingPartyTrust -Navn "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertifikatTilbagekaldelseKontrollér ingen -KrypteringCertifikatTilbagekaldelseKontrollér ingen
Bemærk: Sørg for at indtaste navnet på den svarende part, der stoler på den samme som den kunde, der er oprettet på hans ADFS og i dobbelte anførselstegn.
- Test SSO Control Hub for at verificere.
Var denne artikel nyttig?
