SSO log ind-fejl ved fornyelse af SP-certifikatet via ADFS som IDP

SSO fejl ved login under fornyelse af SP-certifikatet via ADFS som IDP.

SSO fejl under opdatering af nyt SP-certifikat på IdP (ADFS).

Fejl: Ugyldig statuskode i svar.

Trin til at undersøge:

  1. Registrer et SAML-spor for at finde SAML-svaret
Brugertilføjet billede
  • Åbn Notepad++, og installer Klik her
    • Indsæt meddelelsen for at finde SAML-svaret på XML-sproget direkte.
  1. Kontroller, om attributterne er til stede i SAML-svaret fra IdP
  2. Hvis du ikke ser nogen attributter, betyder det, at Webex ikke modtager dem fra IdP. Derfor skal problemet undersøges fra IdP-slutpunktet
  3. Tjek ADFS Webex-konfigurationen af den, der stoler på, Klik her
  4. Når konfigurationen ser fint ud, skal du kontrollere logfilerne for begivenhedsvisning
  5. Kontroller for ADFS-fejl i Windows-logfiler:
  • I Windows-loggene skal du kigge efter ADFS-begivenhedslogfejlkode 364. Hændelsesoplysningerne identificerer et ugyldigt certifikat. I disse tilfælde har ADFS-værten ikke tilladelse til at validere certifikatet via firewallen på port 80.
  • Tillad IdP adgang til port 80 via en firewall til internettet, så den kan udføre CRL-kontroller.
    • Hvis port er åben, så opfølgning med Microsoft og dens firewall.
    • Hvis port 80 ikke er åben på firewall' eller CRL-kontroller ikke fungerer, deaktiveres CRL
  1. På ADFS-server > klik på Begivenhedsvisning > Applikationer > ADFS > Admin > søg efter fejlloggen på det tidsstempel, du replikerede login. Hvis du ser følgende fejl:
Fejl: "Der opstod en fejl under sammenslutningsanmodningen.
Yderligere
dataprotokolnavn:
Saml-afhængig part: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Undtagelsesoplysninger:
Microsoft.IdentityServer.Service.SecurityTokenService.TilbagekaldelseValidationException: MSIS3014: Krypteringscertifikatet fra tillidsparten ' identificeret med aftrykhttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' '754B9208F1F75C5CC962750F3675C5D129471D80' er ikke gyldigt. Det kan indikere, at certifikatet er blevet tilbagekaldt, er udløbet eller at certifikatkæden ikke er pålidelig.
på Microsoft.IdentityModel.Threading.ASyncResult.End(IAsyncResult-resultat)
på Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IASyncResult result) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken-anmodning, IList1& identityClaimSet, List1 additionalClaims) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken-anmodning, Liste1 additionalClaims)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, OmbrudtHttpListenerContext context, Boolean isKmsiRequested)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(ombrudtHttpListenerContext context, httpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, OmbrudtHttpListenerContext-kontekst, Streng relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
på Microsoft.IdentityServer.Web.ProgrammerProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, GliderProtocolHandler protocolHandler) hos
Microsoft.IdentityServer.Web.TjenesterProtocolListener.OnGetContext(OmbrudtHttpListenerContext context)"

Her er opløsningen:
  • Åbn Powershell på ADFS som administrator, og kør kommandoen:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Bemærk: Sørg for at indtaste identifikatorens URL-adresse i anførselstegn, og identifikatorens URL-adresse kan findes i fejlmeddelelsen, kopiere og indsætte den
 
ELLER
  • Åbn Powershell på ADFS som administrator, og kør kommandoen,
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None
 
Bemærk: Sørg for at indtaste navnet på den svarende part, der stoler på den samme som den kunde, der er oprettet på hans ADFS og i dobbelte anførselstegn.
  • Test SSO Control Hub for at verificere.

Var denne artikel nyttig?