Je li taj članak bio koristan?
Hvala na povratnim informacijama.
Pogreška SSO prijave prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a
Želite li poslati povratne informacije?SSO prijava nije uspjela prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a.
SSO nije uspjesan prilikom ažuriranja novog SP certifikata na IDP-u (ADFS).
Pogreška: Nevaljani kôd statusa u odgovoru.
Koraci za istraživanje:
- Snimite SAML trag da biste pronašli SAML odgovor:
- Dodajte dodatak SAML Dekoder poruka u preglednik:
Za Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Za Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Otvorite dodatak i kliknite Kopiraj ovu poruku.
- Otvorite Notepad++, da biste instalirali Kliknite ovdje.
- Zalijepite poruku da biste izravno pronašli SAML odgovor na XML jeziku.
- Provjerite jesu li atributi prisutni u SAML odgovoru iz IdP-a.
- Ako ne vidite atribute, to znači da ih Webex ne prima od IDP-a. Stoga je pitanje potrebno istražiti s kraja IdP-a.
- Da biste provjerili ADFS Webex oslanjajući se na konfiguraciju strane, kliknite ovdje.
- Kada konfiguracija izgleda dobro, provjerite zapisnike preglednika događaja.
- Provjerite ima li ADFS pogrešaka u zapisnicima sustava Windows:
- U zapisnicima sustava Windows potražite kod pogreške zapisnika događaja ADFS 364. Detalji događaja identificiraju certifikat koji nije valjan. U tim slučajevima, ADFS glavno računalo nije dopušteno kroz vatrozid na priključku 80 za provjeru valjanosti certifikata.
- Dopustite IdP pristup ulazu 80 kroz vatrozid na internet kako bi mogao obavljati CRL provjere.
- Ako je ulaz otvoren, nastavite s Microsoftom i njegovim vatrozidom.
- Ako priključak 80 nije otvoren u vatrozidu ili CRL provjere ne rade, onemogućite CRL.
- Na ADFS poslužitelju > Kliknite preglednik događaja > aplikacije > ADFS > Admin > potražite zapisnik pogrešaka na vremenskoj oznaci koju ste replicirali za prijavu. Ako se prikaže sljedeća pogreška:
Pogreška: „Pojavila se pogreška tijekom pasivnog zahtjeva federacije.
Naziv dodatnog
podatkovnog protokola:
Saml oslanjajuća stranka: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalji iznimke:
podatkovnog protokola:
Saml oslanjajuća stranka: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalji iznimke:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Certifikat za šifriranje pouzdane strane "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identificiran otiskom palca "754B9208F1F75C5CC962750F3675C5D129471D80" nije valjan. To može značiti da je certifikat opozvan, da je istekao ili da lanac certifikata nije pouzdan.
na web-mjestu Microsoft.IdentityModel.Threading.AsyncResult.End(rezultat IAsyncResult)
na Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(rezultat IAsyncResult) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(zahtjev RequestSecurityToken, IList1 & identityClaimSet, List1 additionalClaims) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(zahtjev RequestSecurityToken, List1 additionalClaims)na adresi Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onNameOf, String sessionState, String relayState, String & newSamlSession, String & samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String & samlpSessionState, String & samlpAuthenticationProvider)atMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) na adresi Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)na adresi Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)na adresi Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)na adresi Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)”
Evo rezolucije:
- Otvorite Powershell na ADFS-u kao administrator i pokrenite naredbu:
Get-AdfsRelyingPartyTrust -Identifikator 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Napomena:
- Provjerite jeste li u navodnike unijeli URL identifikatora, a URL identifikatora možete pronaći u poruci o pogrešci, kopirati ga i zalijepiti.
- Morate upotrebljavati Kontrolni centar Webex for Government (FedRAMP) https://admin-usgov.webex.com/.
ILI
- Otvorite Powershell na ADFS-u kao administrator i pokrenite naredbu:
Get-AdfsRelyingPartyTrust -Naziv "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Napomena: obavezno unesite ime pouzdane strane koja odgovara kao i onaj korisnik stvoren na njegovom ADFS-u i u dvostrukim ponudama.
- Testirajte SSO na kontrolnom središtu za provjeru.
Je li taj članak bio koristan?
