Pogreška SSO prijave prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a

SSO prijava nije uspjela prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a.

SSO nije uspjesan prilikom ažuriranja novog SP certifikata na IDP-u (ADFS).

Pogreška : kod stanja kao odgovor nije valjan.

Koraci za istraživanje:

  1. Snimite SAML trag kako biste pronašli SAML odgovor
Slika dodana korisniku
  • Otvori Notepad++, da biste instalirali Kliknite ovdje
    • Zalijepite poruku da biste izravno pronašli SAML odgovor na XML jeziku.
  1. Provjerite jesu li atributi prisutni u SAML odgovoru iz IdP-a
  2. Ako ne vidite atribute, to znači da ih Webex ne prima od IDP-a. Stoga je to pitanje potrebno istražiti s kraja IDP-a
  3. Provjerite konfiguraciju ADFS Webex pouzdajuće strane Kliknite ovdje
  4. Kada konfiguracija izgleda dobro, provjerite zapisnike preglednika događaja
  5. Provjerite ima li ADFS pogrešaka u zapisnicima sustava Windows:
  • U zapisnicima sustava Windows potražite kod pogreške zapisnika događaja ADFS 364. Detalji događaja identificiraju certifikat koji nije valjan. U tim slučajevima, ADFS glavno računalo nije dopušteno kroz vatrozid na priključku 80 za provjeru valjanosti certifikata.
  • Dopustite IDP pristup priključku 80 kroz vatrozid na internet kako bi mogao obavljati CRL provjere.
    • Ako je priključak otvoren, nastavite s Microsoftom i njegovim vatrozidom.
    • Ako priključak 80 nije otvoren u vatrozidu ili CRL provjere ne funkcioniraju, onemogućite CRL
  1. Na ADFS poslužitelju > Kliknite preglednik događaja > aplikacije >ADFS > Admin > potražite zapisnik pogrešaka na vremenskoj oznaci koju ste replicirali za prijavu. Ako se prikaže sljedeća pogreška:
Pogreška: "Naišao je na pogrešku tijekom pasivnog zahtjeva federacije.
Naziv dodatnog
podatkovnog protokola:
Saml oslanjajuća stranka: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalji iznimke:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Certifikat za šifriranje pouzdane strane "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identificiran otiskom palca "754B9208F1F75C5CC962750F3675C5D129471D80" nije valjan. To može značiti da je certifikat opozvan, da je istekao ili da lanac certifikata nije pouzdan.
na web-mjestu Microsoft.IdentityModel.Threading.AsyncResult.End(rezultat IAsyncResult)
at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult rezultat) na web-mjestu Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(zahtjevSecurityToken, IList1& identityClaimSet, list1 additionalClaims) na web-mjestu Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(zahtjevSecurityToken, popis1 dodatnihclaims)
na web-mjestu Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, StringState, String&newSamlSession, String&samlpAuthenticationProvider, Booleov isUrlTranslationNeeded, OmotanhttpListenerContext kontekst, Boolean isKmsiRequested)
na web-mjestu Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(Prelomljeni konteksthttpListenerContext, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String&samlpSessionState, String&singlelpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, Prelomljeni konteksthttpListenerContext, oslanjajući se na nizPartyIdentifier, znak SecurityTokenElementOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) u programu Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(Kontekst SamlSignInContext, SecurityToken securityToken, SecurityToken deviceSecurityToken)
na web-mjestu Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
na web-mjestu Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
na web-mjestu Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(omotanhttpListenerContext context)"

Evo rezolucije :
  • Otvorite Powershell na ADFS-u kao administrator i pokrenite naredbu:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Napomena: Provjerite jeste li u navodnike unijeli URL identifikatora, a URL identifikatora možete pronaći u poruci o pogrešci, kopirati ga i zalijepiti
 
ILI
  • Otvorite Powershell na ADFS-u kao administrator i pokrenite naredbu,
Get-AdfsRelyingPartyTrust -Naziv "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None
 
Napomena: Obavezno unesite ime pouzdane strane koja odgovara kao i onaj klijent stvoren na njegovom ADFS-u i u dvostrukim ponudama.
  • Testirajte SSO na kontrolnom središtu za provjeru.
Je li taj članak bio koristan?