Oliko tästä artikkelista apua?
Kiitos palautteestasi.
SSO-sisäänkirjautumisen epäonnistuminen, kun SP-varmenne uusitaan ADFS:n kautta IDP:nä.
Onko sinulla palautetta?SSO-kirjautumisvirhe uusittaessa SP-varmennetta ADFS:n kautta IDP:nä.
SSO-virhe päivitettäessä uutta SP-varmennetta IdP:ssä (ADFS).
Virhe: Virheellinen tilakoodi vastauksena.
Tutkimuksen vaiheet:
- Sieppaa SAML-jäljitys SAML-vastauksen löytämiseksi:
- Lisää SAML Message Decoder -laajennus selaimeen:
For Chrome:
https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en Firefoxille: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Avaa laajennus ja napsauta Kopioi tämä viesti.
- Avaa Notepad ++, asentaaksesi Klikkaa tästä.
- Liitä viesti, jos haluat etsiä SAML-vastauksen suoraan XML-kielellä.
- Tarkista, ovatko määritteet läsnä IdP:n SAML-vastauksessa.
- Jos et näe määritteitä, se tarkoittaa, että Webex ei vastaanota niitä IdP: ltä. Siksi asiaa on tutkittava IdP: n päästä.
- Voit tarkistaa ADFS Webexin osapuolen kokoonpanon perusteella napsauttamalla tätä.
- Kun määritys näyttää hyvältä, tarkista tapahtumienvalvonnan lokit.
- Tarkista ADFS-virheet Windows-lokeista:
- Etsi Windows-lokeista ADFS-tapahtumalokin virhekoodi 364. Tapahtuman tiedot tunnistavat virheellisen varmenteen. Näissä tapauksissa ADFS-isäntää ei päästetä portin 80 palomuurin läpi varmenteen vahvistamiseen.
- Salli IdP:n pääsy porttiin 80 palomuurin kautta Internetiin, jotta se voi suorittaa CRL-tarkistuksia.
- Jos portti on auki, ota yhteyttä Microsoftiin ja sen palomuuriin.
- Jos palomuurin portti 80 ei ole auki tai CRL-tarkistukset eivät toimi, poista CRL käytöstä.
- Napsauta ADFS-palvelimessa > Tapahtumienvalvonta > Sovellukset > ADFS > järjestelmänvalvoja > etsi virheloki siitä aikaleimasta, jonka replikoit kirjautumisen. Jos näet seuraavan virheen:
Virhe: "Havaittiin virhe liittovaltion passiivisen pyynnön aikana.
Lisätiedot
Protokollan nimi: Saml
Luottava osapuoli: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Poikkeuksen tiedot:
Protokollan nimi: Saml
Luottava osapuoli: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Poikkeuksen tiedot:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Peukalonjäljellä "754B9208F1F75C5CC962750F3675C5D129471D80" yksilöidyn luottavan osapuolen salausvarmenne "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx" ei ole kelvollinen. Se voi tarkoittaa, että varmenne on kumottu, vanhentunut tai että varmenneketjuun ei luoteta.
kohteessa Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult-tulos)
kohteessa Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult-tulos) kohteessa Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken-pyyntö, IList1& identityClaimSet, List1 additionalClaims) osoitteessa Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken-pyyntö, List1 additionalClaims)
osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolen isUrlTranslationRequired, WrappedHttpListenerContext context, Boolen isKmsiRequested)
osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolen isKmsiRequested, Boolen isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolen isKmsiRequested, Boolen isApplicationProxyTokenRequired) kohteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
kohteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
kohteessa Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
kohteessa Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolen isUrlTranslationRequired, WrappedHttpListenerContext context, Boolen isKmsiRequested)
osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolen isKmsiRequested, Boolen isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolen isKmsiRequested, Boolen isApplicationProxyTokenRequired) kohteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
kohteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
kohteessa Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
kohteessa Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Tässä on päätöslauselma:
- Avaa Powershell ADFS:ssä järjestelmänvalvojana ja suorita komento:
Get-AdfsRelyingPartyTrust -tunniste 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Huomautus:
- Varmista, että kirjoitat tunnisteen URL-osoitteen lainausmerkkeihin ja tunnisteen URL-osoite löytyy virheilmoituksesta, kopioi ja liitä se.
- Webex for Government (FedRAMP) Control Hubin on käytettävä https://admin-usgov.webex.com/.
TAI
- Avaa Powershell ADFS:ssä järjestelmänvalvojana ja suorita komento:
Get-AdfsRelyingPartyTrust -nimi "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Huomautus:Varmista, että kirjoitat vastaavan osapuolen luottamuksen nimen, joka on sama kuin asiakkaan ADFS:ään luoma nimi, ja lainausmerkkeihin.
- Tarkista testaamalla kertakirjautuminen ohjauskeskuksessa.
Oliko tästä artikkelista apua?
