Egyszeri bejelentkezés sikertelen az SP-tanúsítvány ADFS-en keresztül IDP-ként történő megújításakor

Az egyszeri bejelentkezés sikertelen, amikor az SP-tanúsítványTDFS-en keresztül IDP-ként megújítja.

Az egyszeri bejelentkezés sikertelen az új SP-tanúsítvány idfs(ADFS) frissítésénél.

Hiba : Érvénytelen állapotkód válaszul.

A vizsgálat lépései:

  1. SAML nyomkövetés rögzítése az SAML válasz megkereséséhez:
Felhasználó által hozzáadott kép
  • Nyissa meg a Notepad++ alkalmazást a telepítéshez Kattintson ide .
    • Illessze be az üzenetet, hogy az SAML-választ közvetlenül XML-nyelven találja meg.
  1. Ellenőrizze, hogy az attribútumok jelen vannak-e az IdP-től kapott SAML -válaszban.
  2. Ha nem lát attribútumokat, az azt jelenti, hogy a Webex nem kapja meg őket az IdP-től. Ezért a problémát az IdP oldalról kell vizsgálni.
  3. Az ADFS Webex alapuló ellenőrzéséhez: Kattintson ide .
  4. Ha a konfiguráció rendben van, ellenőrizze az eseménymegjelenítő naplóit.
  5. Keresse meg az ADFS-hibákat a Windows-naplókban:
  • A Windows-naplókban keresse meg az ADFS 364-es eseménynapló-hibakódját. Az esemény részletei érvénytelen tanúsítványt azonosítanak. Ezekben az esetekben az ADFS-állomás nem engedélyezett a 80-as port tűzfalán keresztül a tanúsítvány érvényesítéséhez.
  • Engedélyezze az IdP-hozzáférést a 80-as porthoz egy tűzfalon keresztül az internetre, hogy CRL-ellenőrzéseket végezhessen.
    • Ha a port nyitva van, akkor lépjen kapcsolatba a Microsoft és a tűzfalával.
    • Ha a 80-as port nincs nyitva a tűzfalon, vagy a CRL-ellenőrzések nem működnek, akkor tiltsa le a CRL-t.
  1. Az ADFS-kiszolgálón > kattintson az Eseménynapló > alkalmazások > az ADFS > a rendszergazda > keresse meg a hibanaplót a bejelentkezést replikált időbélyegzőn. Ha a következő hibát látja:
Hiba: "Hiba történt az összevonási passzív kérelem során.
További
adatprotokoll neve: Saml
Függő fél: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Kivétel részletei:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: A függő fél bizalmi kapcsolatának titkosítási tanúsítványa "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' a "754B9208F1F75C5CC962750F3675C5D129471D80" ujjlenyomattal azonosított titkosítási tanúsítványa nem érvényes. Ez azt jelezheti, hogy a tanúsítványt visszavonták, lejárt, vagy hogy a tanúsítványlánc nem megbízható.
a Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult eredmény) címen
a Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult eredmény) címen: Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) címen: Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String/ newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
a Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.RequestBearerToken(BecsomagoltHttpListenerContext környezetben, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String/ samlpSessionState, String/ samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Íme a felbontás:
  • Nyissa meg a Powershellt az ADFS-en rendszergazdaként, és futtassa a parancsot:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Megjegyzés:
  • Ügyeljen arra, hogy az azonosító URL -címét idézőjelben adja meg, és az azonosító URL -címe megtalálható a hibaüzenet, másolja ki és illessze be.
  • A Webex for Government (FedRAMP) Control Hubnak használnia kell idbroker-f.webex.com helyett idbroker.webex.com .

VAGY
 

  • Nyissa meg a Powershellt az ADFS-en rendszergazdaként, és futtassa a parancsot:
Get-AdfsRelyingPartyTrust -Name "Cisco Webex Webex "| Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck Nincs -EncryptionCertificateRevocationCheck Nincs
Megjegyzés :Győződjön meg arról, hogy a válaszoló fél bizalmi kapcsolatának nevét ugyanaz, mint az egyik ügyfél által az ADFS-en létrehozott, idézőjelben.
 
  • Ellenőrizze az SSO-t a vezérlőközpontban az ellenőrzéshez.
Hasznos volt ez a cikk?