SSO-sisäänkirjautumisen epäonnistuminen, kun SP-varmenne uusitaan ADFS:n kautta IDP:nä.

SSO-kirjautumisen epäonnistuminen, kun SP-varmenne uusitaan ADFS:n kautta IDP:nä.

SSO epäonnistuu, kun uusi SP-varmenne päivitetään IdP:ssä (ADFS).

Virhe : Vastauksen virheellinen tilakoodi.

Tutkinnan vaiheet:

Sieppaa SAML-jälki SAML-vastauksen löytämiseksi:

Lisää selaimeen SAML Message Decoder -lisäosa:
Chromelle: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Firefoxille: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Avaa lisäosa ja napsauta Kopioi tämä viesti.

Avaa Notepad++, asenna Klikkaa tästä.
- Liitä viesti, jotta löydät SAML-vastauksen suoraan XML-kielellä.

Tarkista, ovatko attribuutit läsnä IdP:n SAML-vastauksessa.
Jos attribuutteja ei näy, se tarkoittaa, että Webex ei vastaanota niitä IdP:ltä. Näin ollen asia on tutkittava idP:n puolelta.
Jos haluat tarkistaa ADFS Webex luottaa osapuolen kokoonpanoon, Klikkaa tästä.
Kun kokoonpano näyttää hyvältä, tarkista tapahtumailmoituslokit.
Tarkista ADFS-virheet Windowsin lokitiedostoista:

Etsi Windows-lokeista ADFS-tapahtumalokin virhekoodi 364. Tapahtuman tiedot tunnistavat virheellisen varmenteen. Näissä tapauksissa ADFS-isäntä ei pääse palomuurin kautta porttiin 80 varmenteen vahvistamista varten.
Salli IdP:lle pääsy porttiin 80 palomuurin kautta internetiin, jotta se voi suorittaa CRL-tarkistuksia.
- Jos portti on auki, ota yhteyttä Microsoftiin ja sen palomuuriin.
- Jos portti 80 ei ole auki palomuurissa tai CRL-tarkistukset eivät toimi, poista CRL käytöstä.

ADFS-palvelimella > Napsauta Tapahtumien tarkastelu > Sovellukset > ADFS > Ylläpito > etsi virheloki sillä aikaleimalla, jolla replikoit kirjautumisen. Jos näet seuraavan virheen:

Virhe: "Virhe federaation passiivisen pyynnön aikana.

Lisätietoja
Pöytäkirjan nimi: Saml
Luottamushenkilö: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Poikkeustiedot:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Luottamusosapuolen salausvarmenne 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' , jonka tunnistetiedot ovat peukalotunnisteessa '754B9208F1F75C5CC962750F3675C5D129471D80', ei ole voimassa. Se voi osoittaa, että varmenne on peruutettu, sen voimassaolo on päättynyt tai että varmenne-ketjuun ei luoteta.

at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)

at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtokollHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Tässä on päätöslauselma:

Avaa Powershell ADFS:ssä järjestelmänvalvojana ja suorita komento:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Huomautus:

Muista syöttää tunnisteen URL-osoite lainausmerkeissä ja tunnisteen URL-osoite löytyy virheilmoituksesta, kopioi ja liitä se.
Webex for Government (FedRAMP) Control Hubin on käytettävä https://admin-usgov.webex.com/.

TAI

Avaa Powershell ADFS:ssä järjestelmänvalvojana ja suorita komento:

Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Huomautus:Varmista, että vastausosapuolen nimi on sama kuin asiakkaan ADFS-järjestelmään luoma nimi ja että se on kirjoitettu kaksoispainotteisesti.

Testaa SSO:ta ohjauskeskittymässä varmistaaksesi sen.

Kiitos palautteestasi.

SSO-kirjautumisen epäonnistuminen, kun SP-varmenne uusitaan ADFS:n kautta IDP:nä.

SSO epäonnistuu, kun uusi SP-varmenne päivitetään IdP:ssä (ADFS).

Virhe : Vastauksen virheellinen tilakoodi.

Pienyritys

Enterprise

Laitteet

Ratkaisut:

Resurssit

Yritys