Egyszeri bejelentkezés sikertelen az SP-tanúsítvány ADFS-en keresztül IDP-ként történő megújításakor
Az egyszeri bejelentkezés sikertelen, amikor az SP-tanúsítványTDFS-en keresztül IDP-ként megújítja.
Az egyszeri bejelentkezés sikertelen az új SP-tanúsítvány idfs(ADFS) frissítésénél.
Hiba : Érvénytelen állapotkód válaszul.
A vizsgálat lépései:
- SAML nyomkövetés rögzítése az SAML válasz megkereséséhez:
- Adja hozzá a SAML üzenetdekódoló beépülő modul a böngészőbe:
Chrome esetében: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Firefox esetében: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Nyissa meg a plugint, és kattintson az üzenet másolásaelemre.
- Nyissa meg a Notepad++ alkalmazást a telepítéshez Kattintson ide .
- Illessze be az üzenetet, hogy az SAML-választ közvetlenül XML-nyelven találja meg.
- Ellenőrizze, hogy az attribútumok szerepelnek-e az IdP SAML -válaszában.
- Ha nem lát attribútumokat, az azt jelenti, hogy a Webex nem kapja meg őket az IdP-től. Ezért a problémát az IdP oldalról kell vizsgálni.
- Az ADFS Webex alapuló ellenőrzéséhez: Kattintson ide .
- Ha megfelelőnek tűnik a konfiguráció, ellenőrizze az eseménymegjelenítő naplóit.
- Keresse meg az ADFS-hibákat a Windows-naplókban:
- A Windows-naplókban keresse meg az ADFS 364-es eseménynapló-hibakódját. Az esemény részletei érvénytelen tanúsítványt azonosítanak. Ezekben az esetekben az ADFS-állomás nem engedélyezett a 80-as port tűzfalán keresztül a tanúsítvány érvényesítéséhez.
- Engedélyezze az IdP-hozzáférést a 80-as porthoz egy tűzfalon keresztül az internetre, hogy CRL-ellenőrzéseket végezhessen.
- Ha a port nyitva van, akkor lépjen kapcsolatba a Microsoft és a tűzfalával.
- Ha a 80-as port nincs nyitva a tűzfalon, vagy ha nem működnek a CRL-ellenőrzések, akkor tiltsa le a CRL-t.
- Az ADFS-kiszolgálón > kattintson az Eseménynapló > alkalmazások > az ADFS > a rendszergazda > keresse meg a hibanaplót a bejelentkezést replikált időbélyegzőn. Ha a következő hibát látja:
Hiba: "Hiba történt az összevonási passzív kérelem során.
További
adatprotokoll neve: Saml
Függő fél: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Kivétel részletei:
adatprotokoll neve: Saml
Függő fél: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Kivétel részletei:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: A függő fél bizalmi kapcsolatának titkosítási tanúsítványa "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' a "754B9208F1F75C5CC962750F3675C5D129471D80" ujjlenyomattal azonosított titkosítási tanúsítványa nem érvényes. Ez azt jelezheti, hogy a tanúsítványt visszavonták, lejárt, vagy hogy a tanúsítványlánc nem megbízható.
a Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult eredmény) címen
a Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult eredmény) címen: Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) címen: Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String/ newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
a Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.RequestBearerToken(BecsomagoltHttpListenerContext környezetben, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String/ samlpSessionState, String/ samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String/ newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
a Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.RequestBearerToken(BecsomagoltHttpListenerContext környezetben, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String/ samlpSessionState, String/ samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Íme a felbontás:
- Nyissa meg a Powershellt az ADFS-en rendszergazdaként, és futtassa a parancsot:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Megjegyzés:
- Ügyeljen arra, hogy az azonosító URL -címét idézőjelben adja meg, és az azonosító URL -címe megtalálható a hibaüzenet, másolja ki és illessze be.
- A Webex for Government (FedRAMP) Control Hubnak használnia kell https://admin-usgov.webex.com/.
VAGY
- Nyissa meg a Powershellt az ADFS-en rendszergazdaként, és futtassa a parancsot:
Get-AdfsRelyingPartyTrust -Name "Cisco Webex Webex "| Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck Nincs -EncryptionCertificateRevocationCheck Nincs
Megjegyzés :Győződjön meg arról, hogy a válaszoló fél bizalmi kapcsolatának nevét ugyanaz, mint az egyik ügyfél által az ADFS-en létrehozott, idézőjelben.
- Ellenőrizze az SSO-t a vezérlőközpontban az ellenőrzéshez.
Hasznos volt ez a cikk?
