Pogreška SSO prijave prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a

SSO prijava nije uspjela prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a.

SSO nije uspjesan prilikom ažuriranja novog SP certifikata na IDP-u (ADFS).

Pogreška: Nevaljani kôd statusa u odgovoru.

Koraci za istraživanje:

Snimite SAML trag da biste pronašli SAML odgovor:

Dodajte dodatak SAML Dekoder poruka u preglednik:
Za Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Za Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Otvorite dodatak i kliknite Kopiraj ovu poruku.

Otvorite Notepad++, da biste instalirali Kliknite ovdje.
- Zalijepite poruku da biste izravno pronašli SAML odgovor na XML jeziku.

Provjerite jesu li atributi prisutni u SAML odgovoru iz IdP-a.
Ako ne vidite atribute, to znači da ih Webex ne prima od IDP-a. Stoga je pitanje potrebno istražiti s kraja IdP-a.
Da biste provjerili ADFS Webex oslanjajući se na konfiguraciju strane, kliknite ovdje.
Kada konfiguracija izgleda dobro, provjerite zapisnike preglednika događaja.
Provjerite ima li ADFS pogrešaka u zapisnicima sustava Windows:

U zapisnicima sustava Windows potražite kod pogreške zapisnika događaja ADFS 364. Detalji događaja identificiraju certifikat koji nije valjan. U tim slučajevima, ADFS glavno računalo nije dopušteno kroz vatrozid na priključku 80 za provjeru valjanosti certifikata.
Dopustite IdP pristup ulazu 80 kroz vatrozid na internet kako bi mogao obavljati CRL provjere.
- Ako je ulaz otvoren, nastavite s Microsoftom i njegovim vatrozidom.
- Ako priključak 80 nije otvoren u vatrozidu ili CRL provjere ne rade, onemogućite CRL.

Na ADFS poslužitelju > Kliknite preglednik događaja > aplikacije > ADFS > Admin > potražite zapisnik pogrešaka na vremenskoj oznaci koju ste replicirali za prijavu. Ako se prikaže sljedeća pogreška:

Pogreška: „Pojavila se pogreška tijekom pasivnog zahtjeva federacije.

Naziv dodatnog
podatkovnog protokola:
Saml oslanjajuća stranka: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalji iznimke:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Certifikat za šifriranje pouzdane strane "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identificiran otiskom palca "754B9208F1F75C5CC962750F3675C5D129471D80" nije valjan. To može značiti da je certifikat opozvan, da je istekao ili da lanac certifikata nije pouzdan.

na web-mjestu Microsoft.IdentityModel.Threading.AsyncResult.End(rezultat IAsyncResult)

na Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(rezultat IAsyncResult) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(zahtjev RequestSecurityToken, IList1 & identityClaimSet, List1 additionalClaims) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(zahtjev RequestSecurityToken, List1 additionalClaims)na adresi Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onNameOf, String sessionState, String relayState, String & newSamlSession, String & samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String & samlpSessionState, String & samlpAuthenticationProvider)atMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) na adresi Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)na adresi Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)na adresi Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)na adresi Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)”

Evo rezolucije:

Otvorite Powershell na ADFS-u kao administrator i pokrenite naredbu:

Get-AdfsRelyingPartyTrust -Identifikator 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Napomena:

Provjerite jeste li u navodnike unijeli URL identifikatora, a URL identifikatora možete pronaći u poruci o pogrešci, kopirati ga i zalijepiti.
Morate upotrebljavati Kontrolni centar Webex for Government (FedRAMP) https://admin-usgov.webex.com/.

ILI

Otvorite Powershell na ADFS-u kao administrator i pokrenite naredbu:

Get-AdfsRelyingPartyTrust -Naziv "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Napomena: obavezno unesite ime pouzdane strane koja odgovara kao i onaj korisnik stvoren na njegovom ADFS-u i u dvostrukim ponudama.

Testirajte SSO na kontrolnom središtu za provjeru.

Hvala na povratnim informacijama.

SSO prijava nije uspjela prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a.

SSO nije uspjesan prilikom ažuriranja novog SP certifikata na IDP-u (ADFS).

Pogreška: Nevaljani kôd statusa u odgovoru.

Malo poslovanje

Poduzeće

Uređaji

Rješenja za

Resursi

Tvrtka