SSO de inicio de sesión al renovar el certificado de SP a través de ADFS como IDP

SSO de inicio de sesión al renovar el certificado de SP a través de ADFS como IDP.

SSO al actualizar el nuevo certificado de SP en IdP (ADFS).

Error: Código de estado no válido en la respuesta.

Pasos para investigar:

  1. Capture un seguimiento de SAML para encontrar la respuesta de SAML:
Imagen agregada por el usuario
  • Abra Notepad++ para instalar Haga clic aquí.
    • Pegue el mensaje para encontrar la respuesta de SAML en el idioma XML directamente.
  1. Compruebe si los atributos están presentes en la respuesta SAML del IdP.
  2. Si no ve ningún atributo, significa que Webex no los está recibiendo del IdP. Por lo tanto, el problema debe investigarse desde el extremo del IdP.
  3. Para comprobar que ADFS Webex depende de la configuración de partes, Haga clic aquí.
  4. Cuando la configuración se vea bien, compruebe los registros del visor de eventos.
  5. Buscar errores de ADFS en los registros de Windows:
  • En los registros de Windows, busque el código de error 364 del registro de eventos de ADFS. Los detalles del evento identifican la presencia de un certificado no válido. En estos casos, el host de ADFS no tiene autorización para atravesar el firewall en el puerto 80 para validar el certificado.
  • Permita el acceso del IdP al puerto 80 a través de un firewall a Internet para que pueda realizar comprobaciones de CRL.
    • Si el puerto está abierto, realice un seguimiento con Microsoft y su firewall.
    • Si el puerto 80 no está abierto en el firewall o las comprobaciones de CRL no funcionan, deshabilite CRL.
  1. En el servidor de ADFS> haga clic en el visor de eventos > Aplicaciones > > de > de AD FS > busque el registro de errores en la marca de hora en la que replicaba el inicio de sesión. Si ve el siguiente error:
Error: "Se encontró un error durante la solicitud pasiva de la federación.
Nombre del protocolo
de datos adicional: Parte
de confianza de Saml: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalles de la excepción:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: El certificado de cifrado de la parte de confianza " identificado por la huella de pulgarhttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' '754B9208F1F75C5CC962750F3675C5D129471D80' no es válido. Es posible que indique que el certificado ha sido revocado, ha caducado o que la cadena de certificados no es de confianza.
en Microsoft.IdentityModel.Threading.AsyncResult.End(Resultado IResult)
en Microsoft.IdentityModel.Threading.TypedResult1.End(IResultResult resultado) en Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken Request, IList1& identityClaimSet, List1 additionalClaims) en Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken Request, List1 additionalClaims)
en Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlp TokenProvider, Boolean isUrlTranslationNeeded, WrappedHttpContext context, Boolean isPtosiRequested)
en Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Request TokenerToken(EnvueltahttpHttpContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isPtosiRequested, Boolean isApplicationProxyTokenRequired, String&samlpSessionState, String& samlpProxyProvider)en Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolToken.BuildSignInResponse StringWithProxydToken( HttpSamlRequestMessage httpSamlRequest, EnvueltaHttpContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) en Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseContextWithSecurityToken(samlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
en Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context) en
Microsoft.IdentityServer.Web.PassiveProtocolRequest.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler) en
Microsoft.IdentityServer.Web.PassiveProtocolContext.OnGetContext(WrappedHttpContext context)"

Esta es la resolución:
  • Abra Powershell en ADFS como administrador y ejecute el comando:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Nota:
  • Asegúrese de introducir la URL del identificador en comillas y la URL del identificador se puede encontrar en el mensaje de error, cópiela y péguela.
  • El concentrador de control de Webex for Government (FedRAMP) debe utilizar idbroker-f.webex.com en lugar de idbroker.webex.com.

O BIEN
 

  • Abra Powershell en ADFS como administrador y ejecute el comando:
Get-AdfsRelyingPartyTrust -Nombre "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Nota: asegúrese de introducir el nombre del fideicomiso de la parte que responde igual que el cliente creado en su ADFS y en comillas dobles.
 
  • Pruebe SSO en el Concentrador de control para verificar.

¿Ha encontrado este artículo útil?