SSO Anmeldungsfehler bei der Erneuerung des SP-Zertifikats durch ADFS als IDP

SSO anmeldungsfehler beim Erneuern des SP-Zertifikats durch ADFS als IDP.

SSO beim Aktualisieren eines neuen SP-Zertifikats auf IdP (ADFS) aus.

Fehler: Ungültiger Statuscode als Antwort.

Schritte zum Untersuchen:

Erfassen Sie einen SAML-Trace, um die SAML-Antwort zu finden:

Fügen Sie das SAML Message Decoder -Plugin zum Browser hinzu:
Für Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Bei Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Öffnen Sie das Plug-in und klicken Sie auf Diese Nachricht kopieren.

Öffnen Sie Notepad++, um zu installieren Klicken Sie hier .
- Fügen Sie die Nachricht ein, um die SAML-Antwort direkt in der XML-Sprache zu finden.

Überprüfen Sie, ob die Attribute in der SAML-Antwort von IdP vorhanden sind.
Wenn Sie keine Attribute sehen, bedeutet dies, dass Webex sie nicht von IdP empfängt. Daher muss das Problem vom IdP-Ende aus untersucht werden.
Um zu prüfen, ob ADFS Webex die Parteikonfiguration verwendet, klicken Sie hier.
Wenn die Konfiguration gut aussieht, überprüfen Sie die Protokolle der Ereignisanzeige.
Nach ADFS-Fehlern in Windows-Protokollen prüfen:

Suchen Sie in den Windows-Protokollen nach ADFS-Ereignisprotokollfehlercode 364. In den Ereignisdetails ist ein ungültiges Zertifikat angegeben. In diesen Fällen wird dem ADFS-Host keine Validierung des Zertifikats durch die Firewall über Port 80 erlaubt.
Erlauben Sie IdP-Zugriff auf Port 80 über eine Firewall zum Internet, sodass CRL-Prüfungen durchgeführt werden können.
- Wenn der Port offen ist, führen Sie eine Nachverfolgung zu Microsoft und seiner Firewall durch.
- Wenn Port 80 in der Firewall nicht geöffnet ist oder die CRL-Prüfung nicht funktioniert, deaktivieren Sie CRL.

Klicken Sie auf ADFS-Server > Klicken Sie auf Event-Betrachter >-Anwendungen > ADFS > Admin > mit dem Zeitstempel, den Sie bei der Anmeldung repliziert haben, nach dem Fehlerprotokoll. Wenn der folgende Fehler angezeigt wird:

Fehler: "Bei verbund passiver Verbandsanfrage ist ein Fehler aufgetreten.

Zusätzlicher
Datenprotokollname: Vertrauende
Saml-Partei: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Details zur Ausnahme:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Das Verschlüsselungszertifikat der Vertrauensstellung der vertrauenden Partei, das durch den Fingerabdruckhttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' "754B9208F1F75C5CC962750F3675C5D129471D80" identifiziert wird, ist nicht gültig. Dies könnte ein Hinweis darauf sein, dass das Zertifikat widerrufen wurde, abgelaufen ist oder dass die Zertifikatskette nicht vertrauenswürdig ist.

unter Microsoft.Identity Die Threading.AsyncResult.end(IAsyncResult Ergebnis)

unter Microsoft.IdentityHost.Threading.TypedAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
unter Microsoft.IdentityServer.web.protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext Context, String relyingPartyIdentifier, SecurityTokenElementonTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext Context, SecurityToken SecurityToken, SecurityToken deviceSecurityToken)
unter Microsoft.IdentityServer.web.protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
bei Microsoft.IdentityServer.Web.passiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, passiveProtocolHandler protocolHandler)
bei Microsoft.IdentityServer.Web.passiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Hier ist die Auflösung:

Öffnen Sie die Powershell in ADFS als Admin und führen Sie den Befehl aus:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx | Set-AdfsRelyingPartyTrust -SigningCertificateReationCheck None -EncryptionCertificateReificationCheck None

Hinweis:

Stellen Sie sicher, dass Sie die ID-URL in Anführungszeichen eingeben und die ID-URL in der Fehlermeldung finden, kopieren Sie sie und fügen Sie sie ein.
Webex for Government (FedRAMP) Control Hub muss Folgendes verwenden idbroker-f.webex.com statt idbroker.webex.com <UNK> .

ODER

Öffnen Sie die Powershell in ADFS als Admin und führen Sie den Befehl aus:

Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Hinweis :Vergewissern Sie sich, dass Sie den Namen der Vertrauensstellung der antwortenden Partei wie der auf seinem ADFS erstellte Kunde in doppelten Anführungszeichen eingeben.

Testen SSO-Tests auf dem Control Hub, um sie zu überprüfen.