SSO Anmeldungsfehler bei der Erneuerung des SP-Zertifikats durch ADFS als IDP

SSO anmeldungsfehler beim Erneuern des SP-Zertifikats durch ADFS als IDP.

SSO beim Aktualisieren eines neuen SP-Zertifikats auf IdP (ADFS) aus.

Fehler: Ungültiger Statuscode als Antwort.

Schritte zum Untersuchen:

  1. SamL-Trace erfassen, um die SAML-Antwort zu finden
Vom Benutzer hinzugefügte Abbildung
  • Öffnen Sie Notepad++, um zu installieren Klicken Sie hier
    • Fügen Sie die Nachricht ein, um die SAML-Antwort direkt in der XML-Sprache zu finden.
  1. Überprüfen Sie, ob die Attribute in der SAML-Antwort von IdP vorhanden sind
  2. Wenn Sie keine Attribute sehen, bedeutet dies, dass Webex sie nicht von IdP empfängt. Daher muss das Problem vor idP-Ende untersucht werden
  3. Überprüfen Sie die Konfiguration der vertrauenden Seite von ADFS Webex Klicken Sie hier
  4. Wenn die Konfiguration gut aussieht, überprüfen Sie die Protokolle der Ereignisanzeige.
  5. Nach ADFS-Fehlern in Windows-Protokollen prüfen:
  • Suchen Sie in den Windows-Protokollen nach ADFS-Ereignisprotokollfehlercode 364. In den Ereignisdetails ist ein ungültiges Zertifikat angegeben. In diesen Fällen wird dem ADFS-Host keine Validierung des Zertifikats durch die Firewall über Port 80 erlaubt.
  • Erlauben Sie Dem IdP-Zugriff auf den Port 80 über eine Firewall zum Internet, damit er CRL-Überprüfungen durchführen kann.
    • Wenn der Port offen ist, führen Sie ein Follow-up mit Microsoft und der Firewall durch.
    • Wenn Port 80 in der Firewall nicht geöffnet ist oder die CRL-Überprüfungen nicht funktionieren, deaktivieren Sie die CRL
  1. Klicken Sie auf ADFS-Server > Klicken Sie auf Event-Betrachter >-Anwendungen > ADFS > Admin > mit dem Zeitstempel, den Sie bei der Anmeldung repliziert haben, nach dem Fehlerprotokoll. Wenn der folgende Fehler angezeigt wird:
Fehler: "Bei verbund passiver Verbandsanfrage ist ein Fehler aufgetreten.
Zusätzlicher
Datenprotokollname: Vertrauende
Saml-Partei: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Details zur Ausnahme:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Das Verschlüsselungszertifikat der Vertrauensstellung der vertrauenden Partei, das durch den Fingerabdruckhttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' "754B9208F1F75C5CC962750F3675C5D129471D80" identifiziert wird, ist nicht gültig. Dies könnte ein Hinweis darauf sein, dass das Zertifikat widerrufen wurde, abgelaufen ist oder dass die Zertifikatskette nicht vertrauenswürdig ist.
unter Microsoft.Identity Die Threading.AsyncResult.end(IAsyncResult Ergebnis)
unter Microsoft.IdentityHost.Threading.TypedAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
unter Microsoft.IdentityServer.web.protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext Context, String relyingPartyIdentifier, SecurityTokenElementonTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext Context, SecurityToken SecurityToken, SecurityToken deviceSecurityToken)
unter Microsoft.IdentityServer.web.protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
bei Microsoft.IdentityServer.Web.passiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, passiveProtocolHandler protocolHandler)
bei Microsoft.IdentityServer.Web.passiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Dies ist die Auflösung:
  • Öffnen Sie die Powershell in ADFS als Admin und führen Sie den Befehl aus:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx | Set-AdfsRelyingPartyTrust -SigningCertificateReationCheck None -EncryptionCertificateReificationCheck None
Hinweis: Stellen Sie sicher, dass sie die ID-URL in Anführungszeichen eingeben und die Kennungs-URL in der Fehlermeldung finden, kopieren Sie sie und fügen Sie sie ein.
 
ODER
  • Öffnen Sie die Powershell in ADFS als Admin und führen Sie den Befehl aus,
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRecheck None-EncryptionCertificateReationCheck None
 
Hinweis: Vergewissern Sie sich, dass Sie den Namen der Vertrauensstellung der antwortenden Partei und den Kunden, der in SEINEM ADFS erstellt wurde, in zwei Anführungszeichen eingeben.
  • Testen SSO-Tests auf dem Control Hub, um sie zu überprüfen.

War dieser Artikel hilfreich für Sie?