SSO Anmeldungsfehler bei der Erneuerung des SP-Zertifikats durch ADFS als IDP

SSO-Anmeldefehler bei der Erneuerung des SP-Zertifikats über ADFS als IDP.

SSO-Fehler beim Aktualisieren eines neuen SP-Zertifikats auf IdP (ADFS).

Fehler: Ungültiger Statuscode als Antwort.

Schritte zur Untersuchung:

Erfassen Sie eine SAML-Ablaufverfolgung, um die SAML-Antwort zu finden:

Fügen Sie das SAML-Nachrichtendecoder-Plugin zum Browser hinzu:
Für Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Für Firefox: https://addons.mozilla.org/de-DE/firefox/addon/saml-message-decoder-extension/
Öffnen Sie das Plugin und klicken Sie auf Diese Nachricht kopieren.

Öffnen Sie Notepad++, um zu installieren Klicken Sie hier.
- Fügen Sie die Nachricht ein, um die SAML-Antwort direkt in der XML-Sprache zu finden.

Prüfen Sie, ob die Attribute in der SAML-Antwort vom IdP vorhanden sind.
Wenn Sie keine Attribute sehen, bedeutet dies, dass Webex sie nicht von IdP empfängt. Daher muss das Problem ab IdP-Ende untersucht werden.
Klicken Sie hier, um zu überprüfen, ob ADFS Webex auf die Konfiguration eines Teilnehmers zurückgreift.
Wenn die Konfiguration gut aussieht, überprüfen Sie die Protokolle der Ereignisanzeige.
Suchen Sie in den Windows-Protokollen nach ADFS-Fehlern:

Suchen Sie in den Windows-Protokollen nach ADFS-Ereignisprotokollfehlercode 364. In den Event-Details ist ein ungültiges Zertifikat angegeben. In diesen Fällen ist es dem ADFS-Host nicht gestattet, das Zertifikat durch die Firewall auf Port 80 zu validieren.
Erlauben Sie dem IdP-Zugriff auf Port 80 über eine Firewall zum Internet, damit er CRL-Prüfungen durchführen kann.
- Wenn der Port offen ist, führen Sie einen Follow-up mit Microsoft und der Firewall durch.
- Wenn Port 80 in der Firewall nicht geöffnet ist oder die CRL-Überprüfungen nicht funktionieren, deaktivieren Sie CRL.

Klicken Sie auf ADFS-Server > Klicken Sie auf Ereignisanzeige > Anwendungen > ADFS > Admin > Suchen Sie nach dem Fehlerprotokoll mit dem Zeitstempel, den Sie bei der Anmeldung repliziert haben. Wenn der folgende Fehler angezeigt wird:

Fehler: „Bei der passiven Verbandanforderung ist ein Fehler aufgetreten.

Zusätzliche Daten
Protokollname: Saml
Vertrauende Seite: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Details zur Ausnahme:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: msis3014: Das Verschlüsselungszertifikat der Vertrauensstellung der vertrauenden Seite 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx', das durch den Fingerabdruck '754B9208F1F75C5CC962750F3675C5D129471D80' identifiziert wird, ist nicht gültig. Dies könnte ein Hinweis darauf sein, dass das Zertifikat widerrufen wurde, abgelaufen ist oder dass die Zertifikatskette nicht vertrauenswürdig ist.

unter Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult Ergebnis)

unter Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) unter Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken-Anforderung, IList1& identityClaimSet, List1 additionalClaims) unter Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken-Anforderung, List1 additionalClaims)
unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean is
unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
unter Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
unter Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)“

Hier die Auflösung:

Öffnen Sie die Powershell in ADFS als Admin und führen Sie den Befehl aus:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Hinweis:

Stellen Sie sicher, dass Sie die Bezeichner-URL in Anführungszeichen eingeben und die Bezeichner-URL in der Fehlermeldung finden, kopieren Sie sie und fügen Sie sie ein.
Der Webex for Government (FedRAMP) Control Hub muss https://admin-usgov.webex.com/ verwenden.

oder

Öffnen Sie die Powershell in ADFS als Admin und führen Sie den Befehl aus:

Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Hinweis: Stellen Sie sicher, dass Sie den Namen der Vertrauensstellung der antwortenden Partei wie der einen Kunden eingeben, der auf seinem ADFS erstellt wurde, und in doppelten Anführungszeichen eingeben.

Testen Sie SSO auf dem Control Hub, um sie zu überprüfen.

Danke für Ihr Feedback.

SSO-Anmeldefehler bei der Erneuerung des SP-Zertifikats über ADFS als IDP.

SSO-Fehler beim Aktualisieren eines neuen SP-Zertifikats auf IdP (ADFS).

Fehler: Ungültiger Statuscode als Antwort.

Kleine Unternehmen

Enterprise

Geräte

Lösungen für

Ressourcen

Unternehmen