SSO log ind-fejl ved fornyelse af SP-certifikatet via ADFS som IDP

SSO fejl ved login under fornyelse af SP-certifikatet via ADFS som IDP.

SSO fejl under opdatering af nyt SP-certifikat på IdP (ADFS).

Fejl: Ugyldig statuskode i svar.

Trin til at undersøge:

Optag et SAML-spor for at finde SAML-svaret:

Tilføj SAML-meddelelsesafkoderplugin til browseren:
For Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Til Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Åbn plug-in'et, og klik på Kopier denne meddelelse.

Åbn Notepad++, for at installere Klik her.
- Indsæt meddelelsen for at finde SAML-svaret på XML-sproget direkte.

Kontrollér, om attributterne er til stede i SAML-svaret fra IdP.
Hvis du ikke ser nogen attributter, betyder det, at Webex ikke modtager dem fra IdP. Derfor skal problemet undersøges fra IdP-enden.
Klik her for at kontrollere ADFS Webex, der er afhængig af partikonfiguration. Klik her.
Når konfigurationen ser fint ud, skal du kontrollere logfilerne for begivenhedsvisning.
Kontroller for ADFS-fejl i Windows-logfiler:

I Windows-loggene skal du kigge efter ADFS-begivenhedslogfejlkode 364. Hændelsesoplysningerne identificerer et ugyldigt certifikat. I disse tilfælde har ADFS-værten ikke tilladelse til at validere certifikatet via firewallen på port 80.
Tillad idP-adgang til port 80 via en firewall til internettet, så den kan udføre CRL-kontroller.
- Hvis porten er åben, skal du følge op med Microsoft og dens firewall.
- Hvis port 80 ikke er åben på firewallen, eller CRL-kontrollerne ikke fungerer, skal du deaktivere CRL.

På ADFS-server > klik på Begivenhedsvisning > Applikationer > ADFS > Admin > søg efter fejlloggen på det tidsstempel, du replikerede login. Hvis du ser følgende fejl:

Fejl: "Der opstod en fejl under sammenslutningsanmodningen.

Yderligere
dataprotokolnavn:
Saml-afhængig part: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Undtagelsesoplysninger:

Microsoft.IdentityServer.Service.SecurityTokenService.TilbagekaldelseValidationException: MSIS3014: Krypteringscertifikatet fra tillidsparten ' identificeret med aftrykhttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' '754B9208F1F75C5CC962750F3675C5D129471D80' er ikke gyldigt. Det kan indikere, at certifikatet er blevet tilbagekaldt, er udløbet eller at certifikatkæden ikke er pålidelig.

på Microsoft.IdentityModel.Threading.ASyncResult.End(IAsyncResult-resultat)

på Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IASyncResult result) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken-anmodning, IList1& identityClaimSet, List1 additionalClaims) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken-anmodning, Liste1 additionalClaims)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, OmbrudtHttpListenerContext context, Boolean isKmsiRequested)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(ombrudtHttpListenerContext context, httpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, OmbrudtHttpListenerContext-kontekst, Streng relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
på Microsoft.IdentityServer.Web.ProgrammerProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, GliderProtocolHandler protocolHandler) hos
Microsoft.IdentityServer.Web.TjenesterProtocolListener.OnGetContext(OmbrudtHttpListenerContext context)"

Her er beslutningen:

Åbn Powershell på ADFS som administrator, og kør kommandoen:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Bemærk:

Sørg for at indtaste id-URL-adressen i citater, og id-URL-adressen kan findes i fejlmeddelelsen, kopiér og indsæt den.
Webex for Government (Fed RAMP) Control Hub skal bruge idmægler-f.webex.com i stedet for idmægler.webex.com.

ELLER

Åbn Powershell på ADFS som administrator, og kør kommandoen:

Get-AdfsRelying Party Trust -Navn "Cisco Webex" | Set-Adfs Relying Party Trust -SigneringCertificate Revocation Check None -KrypteringsCertificate Revocation Check None

Bemærk:Sørg for at indtaste navnet på den svarende part, der har tillid til den ene kunde, der er oprettet på hans ADFS og i dobbelte anførselstegn.

Test SSO Control Hub for at verificere.