War dieser Artikel hilfreich für Sie?
Danke für Ihr Feedback.
SSO Anmeldungsfehler bei der Erneuerung des SP-Zertifikats durch ADFS als IDP
Feedback?SSO anmeldungsfehler beim Erneuern des SP-Zertifikats durch ADFS als IDP.
SSO beim Aktualisieren eines neuen SP-Zertifikats auf IdP (ADFS) aus.
Fehler: Ungültiger Statuscode in Antwort.
Schritte zum Untersuchen:
- Erfassen Sie eine SAML-Ablaufverfolgung, um die SAML-Antwort zu finden:
- Fügen Sie das SAML-Nachrichtendecoder -Plugin zum Browser hinzu:
Für Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Bei Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Öffnen Sie das Plug-in und klicken Sie auf Diese Nachricht kopieren.
- Öffnen Sie Notepad++, um zu installieren Klicken Sie hier.
- Fügen Sie die Nachricht ein, um die SAML-Antwort direkt in der XML-Sprache zu finden.
- Prüfen Sie, ob die Attribute in der SAML-Antwort vom IdP vorhanden sind.
- Wenn Sie keine Attribute sehen, bedeutet dies, dass Webex sie nicht von IdP empfängt. Daher muss das Problem ab IdP-Ende untersucht werden.
- Klicken Sie hier, um zu überprüfen, ob ADFS Webex auf die Konfiguration eines Teilnehmers zurückgreift.
- Wenn die Konfiguration gut aussieht, überprüfen Sie die Protokolle der Ereignisanzeige.
- Nach ADFS-Fehlern in Windows-Protokollen prüfen:
- Suchen Sie in den Windows-Protokollen nach ADFS-Ereignisprotokollfehlercode 364. In den Ereignisdetails ist ein ungültiges Zertifikat angegeben. In diesen Fällen wird dem ADFS-Host keine Validierung des Zertifikats durch die Firewall über Port 80 erlaubt.
- Erlauben Sie dem IdP-Zugriff auf Port 80 über eine Firewall zum Internet, damit er CRL-Prüfungen durchführen kann.
- Wenn der Port offen ist, führen Sie einen Follow-up mit Microsoft und der Firewall durch.
- Wenn Port 80 in der Firewall nicht geöffnet ist oder die CRL-Überprüfungen nicht funktionieren, deaktivieren Sie CRL.
- Klicken Sie auf ADFS-Server > Klicken Sie auf Event-Betrachter >-Anwendungen > ADFS > Admin > mit dem Zeitstempel, den Sie bei der Anmeldung repliziert haben, nach dem Fehlerprotokoll. Wenn der folgende Fehler angezeigt wird:
Fehler: „Bei der passiven Verbandanforderung ist ein Fehler aufgetreten.
Zusätzlicher Datenprotokollname
: Vertrauende
Saml-Partei: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Details zur Ausnahme:
: Vertrauende
Saml-Partei: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Details zur Ausnahme:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Das Verschlüsselungszertifikat der Vertrauensstellung der vertrauenden Partei, das durch den Fingerabdruckhttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' "754B9208F1F75C5CC962750F3675C5D129471D80" identifiziert wird, ist nicht gültig. Dies könnte ein Hinweis darauf sein, dass das Zertifikat widerrufen wurde, abgelaufen ist oder dass die Zertifikatskette nicht vertrauenswürdig ist.
unter Microsoft.Identity Die Threading.AsyncResult.end(IAsyncResult Ergebnis)
unter Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) unter Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken-Anforderung, IList1& identityClaimSet, List1 additionalClaims) unter Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken-Anforderung, List1 additionalClaims)unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)umMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)unter Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)unter Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)“
Hier die Auflösung:
- Öffnen Sie die Powershell in ADFS als Admin und führen Sie den Befehl aus:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Hinweis:
- Stellen Sie sicher, dass Sie die Bezeichner-URL in Anführungszeichen eingeben und die Bezeichner-URL in der Fehlermeldung finden, kopieren Sie sie und fügen Sie sie ein.
- Webex for Government (FedRAMP) Control Hub muss verwendet werden https://admin-usgov.webex.com/.
ODER
- Öffnen Sie die Powershell in ADFS als Admin und führen Sie den Befehl aus:
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Hinweis: Stellen Sie sicher, dass Sie den Namen der Vertrauensstellung der antwortenden Partei wie der einen Kunden eingeben, der auf seinem ADFS erstellt wurde, und in doppelten Anführungszeichen eingeben.
- Testen SSO-Tests auf dem Control Hub, um sie zu überprüfen.
War dieser Artikel hilfreich für Sie?
