SSO log ind-fejl ved fornyelse af SP-certifikatet via ADFS som IDP

SSO fejl ved login under fornyelse af SP-certifikatet via ADFS som IDP.

SSO fejl under opdatering af nyt SP-certifikat på IdP (ADFS).

Fejl: Ugyldig statuskode i svar.

Trin til at undersøge:

Optag et SAML-spor for at finde SAML-svaret:

Tilføj plugin'et SAML-meddelelsesdekoder til browseren:
For Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Til Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Åbn plug-in'et, og klik på Kopier denne meddelelse.

Åbn Notepad++, for at installere Klik her.
- Indsæt meddelelsen for at finde SAML-svaret på XML-sproget direkte.

Kontrollér, om attributterne er til stede i SAML-svaret fra IdP.
Hvis du ikke ser nogen attributter, betyder det, at Webex ikke modtager dem fra IdP. Derfor skal problemet undersøges fra IdP-slutpunktet.
For at kontrollere den ADFS Webex, der er afhængig af partens konfiguration, Klik her.
Når konfigurationen ser fint ud, skal du kontrollere logfilerne for begivenhedsvisning.
Kontroller for ADFS-fejl i Windows-logfiler:

I Windows-loggene skal du kigge efter ADFS-begivenhedslogfejlkode 364. Hændelsesoplysningerne identificerer et ugyldigt certifikat. I disse tilfælde har ADFS-værten ikke tilladelse til at validere certifikatet via firewallen på port 80.
Tillad IdP-adgang til port 80 via en firewall til internettet, så den kan udføre CRL-kontroller.
- Hvis porten er åben, skal du følge op med Microsoft og dens firewall.
- Hvis port 80 ikke er åben på firewallen, eller CRL-kontroller ikke fungerer, skal du deaktivere CRL.

På ADFS-server > klik på Begivenhedsvisning > Applikationer > ADFS > Admin > søg efter fejlloggen på det tidsstempel, du replikerede login. Hvis du ser følgende fejl:

Fejl: "Der opstod en fejl under anmodning om passiv sammenslutning.

Yderligere data
protokolnavn:
Saml-afhængig part: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Undtagelsesoplysninger:

Microsoft.IdentityServer.Service.SecurityTokenService.TilbagekaldelseValidationException: MSIS3014: Krypteringscertifikatet fra tillidsparten ' identificeret med aftrykhttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' '754B9208F1F75C5CC962750F3675C5D129471D80' er ikke gyldigt. Det kan indikere, at certifikatet er blevet tilbagekaldt, er udløbet eller at certifikatkæden ikke er pålidelig.

på Microsoft.IdentityModel.Threading.ASyncResult.End(IAsyncResult-resultat)

på Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, StringRelayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerKontekst kontekst, Boolean isKmsiRequested)på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerKontekst kontekst, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)påMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerKontekst kontekst, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInKontekst kontekst, SecurityToken sikkerhedToken, SecurityToken deviceSecurityToken)på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext kontekst)på Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)på Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext kontekst)"

Her er opløsningen:

Åbn Powershell på ADFS som administrator, og kør kommandoen:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertifikatTilbagekaldelseKontrollér ingen -KrypteringCertifikatTilbagekaldelseKontrollér ingen

Bemærk:

Sørg for at indtaste identifikatorens URL-adresse i anførselstegn, og identifikatorens URL-adresse kan findes i fejlmeddelelsen, kopier og indsæt den.
Webex for Government (FedRAMP) Control Hub skal bruge https://admin-usgov.webex.com/.

ELLER

Åbn Powershell på ADFS som administrator, og kør kommandoen:

Get-AdfsRelyingPartyTrust -Navn "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertifikatTilbagekaldelseKontrollér ingen -KrypteringCertifikatTilbagekaldelseKontrollér ingen

Bemærk: Sørg for at indtaste navnet på den svarende part, der stoler på den samme som den kunde, der er oprettet på hans ADFS og i dobbelte anførselstegn.

Test SSO Control Hub for at verificere.

Tak for din feedback.

SSO fejl ved login under fornyelse af SP-certifikatet via ADFS som IDP.

SSO fejl under opdatering af nyt SP-certifikat på IdP (ADFS).

Fejl: Ugyldig statuskode i svar.

Små virksomheder

Virksomhed

Enheder

Løsninger til

Ressourcer

Virksomhed