SSO-kirjautumisvirhe uusittaessa SP-varmennetta ADFS:n kautta IDP:nä
SSO-kirjautumisvirhe uusittaessa SP-varmennetta ADFS:n kautta IDP:nä.
SSO-virhe päivitettäessä uutta SP-varmennetta IDP:ssä (ADFS).
Virhe : Virheellinen tilakoodi vastauksena.
Tutkintavaiheet:
- Sieppaa SAML-jäljitys SAML-vastauksen löytämiseksi:
- Lisää SAML-viestien dekooderi plugin selaimeen:
Chromelle: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Avaa laajennus ja napsauta Kopioi tämä viesti.
- Asenna avaamalla Notepad++ Klikkaa tästä.
- Liitä viesti löytääksesi SAML-vastauksen suoraan XML-kielellä.
- Tarkista, ovatko attribuutit läsnä IDP:n SAML-vastauksessa.
- Jos et näe attribuutteja, se tarkoittaa, että Webex ei saa niitä IdP:ltä. Siksi ongelmaa on tutkittava IdP-päästä.
- Voit tarkistaa ADFS Webexin osapuolen kokoonpanon perusteella seuraavasti: Klikkaa tästä.
- Kun määritys näyttää hyvältä, tarkista tapahtumien katseluohjelman lokit.
- Tarkista ADFS-virheet Windowsin lokeista:
- Etsi Windowsin lokeista ADFS-tapahtumalokin virhekoodi 364. Tapahtuman tiedot osoittavat virheellisen varmenteen. Näissä tapauksissa ADFS-isäntä ei saa vahvistaa sertifikaattia portin 80 palomuurin kautta.
- Salli IdP-pääsy porttiin 80 palomuurin kautta Internetiin, jotta se voi suorittaa CRL-tarkistuksia.
- Jos portti on auki, ota yhteyttä Microsoftiin ja sen palomuuriin.
- Jos portti 80 ei ole auki palomuurissa tai CRL-tarkistukset eivät toimi, poista CRL käytöstä.
- ADFS-palvelimella > Napsauta Tapahtuman katselija > Sovellukset > ADFS > Admin > etsi virhelokia aikaleimalla, jonka kopioit kirjautumisen. Jos näet seuraavan virheilmoituksen:
Virhe: "Tapahtui virhe liittämisen passiivisen pyynnön aikana.
Lisädata
Protokollan nimi: Saml
Luotettava osapuoli: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Poikkeustiedot:
Protokollan nimi: Saml
Luotettava osapuoli: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Poikkeustiedot:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Luotettavan osapuolen salaussertifikaatti "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' merkitty peukalonjäljellä '754B9208F1F75C5CC962750F3675C5D129471D80' ei kelpaa. Se saattaa tarkoittaa, että varmenne on peruutettu, vanhentunut tai että varmenneketjuun ei luoteta.
osoitteessa Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult tulos)
osoitteessa Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) osoitteessa Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1&identiteettiSTlaimSet.Identity) SecurityTokenServiceManager.Issue(RequestSecurityToken pyyntö, Lista1 lisävaatimukset)
osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSesslp Tarvitaan, WrappedHttpListenerContext konteksti, Boolean isKmsiRequested)
osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext konteksti, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyRequestm, Booleanst quired, String& samlpSessionState, String& samlpAuthenticationProvider) osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml. SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext-konteksti, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, BooleanTokenstApplication,BooleanTokenIRequired Server.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext-konteksti, SecurityToken securityToken, SecurityToken-laiteSecurityToken)
osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext konteksti)
osoitteessa Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
osoitteessa Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext konteksti)"
osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSesslp Tarvitaan, WrappedHttpListenerContext konteksti, Boolean isKmsiRequested)
osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext konteksti, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyRequestm, Booleanst quired, String& samlpSessionState, String& samlpAuthenticationProvider) osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml. SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext-konteksti, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, BooleanTokenstApplication,BooleanTokenIRequired Server.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext-konteksti, SecurityToken securityToken, SecurityToken-laiteSecurityToken)
osoitteessa Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext konteksti)
osoitteessa Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
osoitteessa Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext konteksti)"
Tässä on resoluutio:
- Avata Powershell ADFS:ssä järjestelmänvalvojana ja suorita komento:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck Ei mitään -EncryptionCertificateRevocationCheck Ei mitään
Huomautus:
- Varmista, että kirjoitat tunnisteen URL-osoitteen lainausmerkkeihin ja tunnisteen URL-osoite löytyy virheilmoituksesta, kopioi ja liitä se.
- Webex for Government (FedRAMP) Control Hubin on käytettävä https://admin-usgov.webex.com/.
TAI
- Avata Powershell ADFS:ssä järjestelmänvalvojana ja suorita komento:
Get-AdfsRelyingPartyTrust -nimi "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck Ei mitään -EncryptionCertificateRevocationCheck Ei mitään
Huomautus:Varmista, että kirjoitat vastaavan osapuolen luottamuksen nimen, joka on sama kuin yhden asiakkaan ADFS:ään luoman nimi ja lainausmerkeissä.
- Testaa SSO ohjauskeskuksessa varmistaaksesi.
Oliko tästä artikkelista apua?