Oliko tästä artikkelista apua?
Kiitos palautteestasi.
SSO-sisäänkirjautumisen epäonnistuminen, kun SP-varmenne uusitaan ADFS:n kautta IDP:nä.
Onko sinulla palautetta?SSO-kirjautumisen epäonnistuminen, kun SP-varmenne uusitaan ADFS:n kautta IDP:nä.
SSO epäonnistuu, kun uusi SP-varmenne päivitetään IdP:ssä (ADFS).
Virhe : Vastauksen virheellinen tilakoodi.
Tutkinnan vaiheet:
- Sieppaa SAML-jälki SAML-vastauksen löytämiseksi:
- Lisää selaimeen SAML Message Decoder -lisäosa:
Chromelle: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Firefoxille: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Avaa lisäosa ja napsauta Kopioi tämä viesti.
- Avaa Notepad++, asenna Klikkaa tästä.
- Liitä viesti, jotta löydät SAML-vastauksen suoraan XML-kielellä.
- Tarkista, ovatko attribuutit läsnä IdP:n SAML-vastauksessa.
- Jos attribuutteja ei näy, se tarkoittaa, että Webex ei vastaanota niitä IdP:ltä. Näin ollen asia on tutkittava idP:n puolelta.
- Jos haluat tarkistaa ADFS Webex luottaa osapuolen kokoonpanoon, Klikkaa tästä.
- Kun kokoonpano näyttää hyvältä, tarkista tapahtumailmoituslokit.
- Tarkista ADFS-virheet Windowsin lokitiedostoista:
- Etsi Windows-lokeista ADFS-tapahtumalokin virhekoodi 364. Tapahtuman tiedot tunnistavat virheellisen varmenteen. Näissä tapauksissa ADFS-isäntä ei pääse palomuurin kautta porttiin 80 varmenteen vahvistamista varten.
- Salli IdP:lle pääsy porttiin 80 palomuurin kautta internetiin, jotta se voi suorittaa CRL-tarkistuksia.
- Jos portti on auki, ota yhteyttä Microsoftiin ja sen palomuuriin.
- Jos portti 80 ei ole auki palomuurissa tai CRL-tarkistukset eivät toimi, poista CRL käytöstä.
- ADFS-palvelimella > Napsauta Tapahtumien tarkastelu > Sovellukset > ADFS > Ylläpito > etsi virheloki sillä aikaleimalla, jolla replikoit kirjautumisen. Jos näet seuraavan virheen:
Virhe: "Virhe federaation passiivisen pyynnön aikana.
Lisätietoja
Pöytäkirjan nimi: Saml
Luottamushenkilö: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Poikkeustiedot:
Pöytäkirjan nimi: Saml
Luottamushenkilö: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Poikkeustiedot:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Luottamusosapuolen salausvarmenne 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' , jonka tunnistetiedot ovat peukalotunnisteessa '754B9208F1F75C5CC962750F3675C5D129471D80', ei ole voimassa. Se voi osoittaa, että varmenne on peruutettu, sen voimassaolo on päättynyt tai että varmenne-ketjuun ei luoteta.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtokollHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtokollHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Tässä on päätöslauselma:
- Avaa Powershell ADFS:ssä järjestelmänvalvojana ja suorita komento:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Huomautus:
- Muista syöttää tunnisteen URL-osoite lainausmerkeissä ja tunnisteen URL-osoite löytyy virheilmoituksesta, kopioi ja liitä se.
- Webex for Government (FedRAMP) Control Hubin on käytettävä https://admin-usgov.webex.com/.
TAI
- Avaa Powershell ADFS:ssä järjestelmänvalvojana ja suorita komento:
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Huomautus:Varmista, että vastausosapuolen nimi on sama kuin asiakkaan ADFS-järjestelmään luoma nimi ja että se on kirjoitettu kaksoispainotteisesti.
- Testaa SSO:ta ohjauskeskittymässä varmistaaksesi sen.
Oliko tästä artikkelista apua?
