Pogreška SSO prijave prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a

SSO prijava nije uspjela prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a.

SSO nije uspjesan prilikom ažuriranja novog SP certifikata na IDP-u (ADFS).

Pogreška : kod stanja kao odgovor nije valjan.

Koraci za istraživanje:

Snimite SAML trag da biste pronašli SAML odgovor:

Dodajte SAML dekoder poruka dodatak za preglednik:
Za Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Za Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Otvorite dodatak i kliknite Kopiraj ovu poruku.

Otvorite Notepad++ za instalaciju Kliknite ovdje .
- Zalijepite poruku da biste izravno pronašli SAML odgovor na XML jeziku.

Provjerite jesu li atributi prisutni u SAML odgovoru od IdP-a.
Ako ne vidite atribute, to znači da ih Webex ne prima od IDP-a. Stoga se problem mora istražiti sa strane IdP-a.
Da biste provjerili ADFS Webex oslanjajući se na konfiguraciju stranke, Kliknite ovdje .
Kada konfiguracija izgleda dobro, provjerite zapisnike preglednika događaja.
Provjerite ima li ADFS pogrešaka u zapisnicima sustava Windows:

U zapisnicima sustava Windows potražite kod pogreške zapisnika događaja ADFS 364. Detalji događaja identificiraju certifikat koji nije valjan. U tim slučajevima, ADFS glavno računalo nije dopušteno kroz vatrozid na priključku 80 za provjeru valjanosti certifikata.
Dopustite IdP-u pristup portu 80 kroz vatrozid na internetu kako bi mogao obavljati CRL provjere.
- Ako je port otvoren, obratite se Microsoft i njegovom vatrozidu.
- Ako port 80 nije otvoren na vatrozidu ili CRL provjere ne rade, onemogućite CRL.

Na ADFS poslužitelju > Kliknite preglednik događaja > aplikacije > ADFS > Admin > potražite zapisnik pogrešaka na vremenskoj oznaci koju ste replicirali za prijavu. Ako vidite sljedeću pogrešku:

Pogreška: "Naišao je na pogrešku tijekom pasivnog zahtjeva federacije.

Naziv dodatnog
podatkovnog protokola:
Saml oslanjajuća stranka: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalji iznimke:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Certifikat za šifriranje pouzdane strane "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identificiran otiskom palca "754B9208F1F75C5CC962750F3675C5D129471D80" nije valjan. To može značiti da je certifikat opozvan, da je istekao ili da lanac certifikata nije pouzdan.

na web-mjestu Microsoft.IdentityModel.Threading.AsyncResult.End(rezultat IAsyncResult)

at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult rezultat) na web-mjestu Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(zahtjevSecurityToken, IList1& identityClaimSet, list1 additionalClaims) na web-mjestu Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(zahtjevSecurityToken, popis1 dodatnihclaims)
na web-mjestu Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, StringState, String&newSamlSession, String&samlpAuthenticationProvider, Booleov isUrlTranslationNeeded, OmotanhttpListenerContext kontekst, Boolean isKmsiRequested)
na web-mjestu Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(Prelomljeni konteksthttpListenerContext, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String&samlpSessionState, String&singlelpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, Prelomljeni konteksthttpListenerContext, oslanjajući se na nizPartyIdentifier, znak SecurityTokenElementOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) u programu Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(Kontekst SamlSignInContext, SecurityToken securityToken, SecurityToken deviceSecurityToken)
na web-mjestu Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
na web-mjestu Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
na web-mjestu Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(omotanhttpListenerContext context)"

Evo rezolucije:

Otvorite Powershell na ADFS-u kao administrator i pokrenite naredbu:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Napomena:

Obavezno unesite URL identifikatora u navodnike i URL identifikatora možete pronaći u poruka o pogrešci, kopirajte ga i zalijepite.
Webex za vladu (FedRAMP) Control Hub mora koristiti idbroker-f.webex.com umjesto idbroker.webex.com .

ILI

Otvorite Powershell na ADFS-u kao administrator i pokrenite naredbu:

Get-AdfsRelyingPartyTrust -Naziv "Cisco Webex"| Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Napomena : Obavezno unesite ime povjerenja odgovorne strane isto kao i ime kupca koji je kreirao na svom ADFS-u i u dvostrukim navodnicima.

Testirajte SSO na kontrolnom središtu za provjeru.