כשל בכניסה ל- SSO בעת חידוש אישור ה- SP באמצעות ADFS כ- IDP

כשל בכניסה ל- SSO בעת חידוש אישור ה- SP באמצעות ADFS כ- IDP.

כשל SSO בעת עדכון אישור SP חדש ב- IdP (ADFS).

שגיאה : קוד מצב לא חוקי בתגובה.

שלבים לחקירה:

  1. צלם עקבות SAML כדי למצוא את תגובת SAML
תמונה שנוספה על-ידי המשתמש
  • פתח את פנקס הרשימות++, להתקנה לחץ כאן
    • הדבק את ההודעה כדי למצוא את תגובת SAML בשפת XML ישירות.
  1. בדוק אם התכונות קיימות בתגובת SAML מ- IdP
  2. אם אינך רואה תכונות כלשהן, משמעות הדבר היא ש- Webex אינו מקבל אותן מ- IdP. מכאן שהנושא צריך להיחקר מקצה IdP
  3. בדוק את תצורת הצדדים המסתמכים של ADFS Webex לחץ כאן
  4. כאשר התצורה נראית בסדר, בדוק את יומני מציג האירועים
  5. בדוק אם קיימות שגיאות ADFS ביומני הרישום של Windows:
  • ביומני הרישום של Windows, חפש את קוד השגיאה של יומן האירועים של ADFS 364. פרטי האירוע מזהים אישור לא חוקי. במקרים אלה, מארח ADFS אינו מורשה לעבור דרך חומת האש ביציאה 80 כדי לאמת את האישור.
  • אפשר ל-IdP גישה ליציאה 80 דרך חומת אש לאינטרנט כדי שתוכל לבצע בדיקות CRL.
    • אם היציאה פתוחה, המשך עם מיקרוסופט וחומת האש שלה.
    • אם יציאה 80 אינה פתוחה בחומת האש או שבדיקות CRL אינן פועלות, השבת את CRL
  1. בשרת ADFS > לחץ על מציג האירועים > יישומים > ADFS > Admin > לחפש את יומן השגיאות בחותמת הזמן ששכפלת את הכניסה. אם אתה רואה את השגיאה הבאה :
שגיאה: "נתקל בשגיאה במהלך בקשה פסיבית של הפדרציה.
שם פרוטוקול נתונים
נוסף: צד מסתמך סמל
: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
פרטים חריגים:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: אישור ההצפנה של אמון הצד המסתמך 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' שזוהה על ידי טביעת אצבע '754B9208F1F75C5C5CC962750F3675C5D129471D80' אינו תקף. הוא עשוי לציין שהאישור בוטל, שפג תוקפו או ששרשרת האישורים אינה מהימנה.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1 &identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken Request, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String &newSamlSession, String &samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String &samlpSessionState, String &samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

הנה הפתרון :
  • פתח את Powershell ב- ADFS כמנהל והפעל את הפקודה:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SignatureCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
הערה: הקפד להזין את כתובת ה- URL של המזהה במרכאות מחיר וניתן למצוא את כתובת ה- URL המזהה בהודעת השגיאה, להעתיק ולהדביק אותה
 
או
  • פתח את Powershell ב- ADFS כמנהל והפעל את הפקודה,
Get-AdfsRelyingPartyTrust -שם "Cisco Webex" | Set-AdfsRelyingPartyTrust -SignatureCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None
 
הערה: הקפד להזין את שם האמון של הצד המשיב זהה לזה שלקוח שנוצר ב- ADFS שלו ובמירכאות כפולות.
  • בדוק SSO במרכז הבקרה כדי לאמת.

האם המאמר הזה הועיל לך?