Hasznos volt ez a cikk?
Köszönjük visszajelzését.
Egyszeri bejelentkezés sikertelen az SP-tanúsítvány ADFS-en keresztül IDP-ként történő megújításakor
Visszajelzés?Az egyszeri bejelentkezés sikertelen, amikor az SP-tanúsítványTDFS-en keresztül IDP-ként megújítja.
Az egyszeri bejelentkezés sikertelen az új SP-tanúsítvány idfs(ADFS) frissítésénél.
Hiba: Érvénytelen állapotkód a válaszban.
A vizsgálat lépései:
- SAML nyomkövetés rögzítése az SAML-válasz megtalálásához:
- Adja hozzá a SAML Message Decoder beépülő modult a böngészőhöz:
Chrome esetében: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Firefox esetében: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Nyissa meg a plugint, és kattintson az üzenet másolásaelemre.
- Nyissa meg a Notepad++ alkalmazást a telepítéshez Kattintson ide.
- Illessze be az üzenetet, hogy az SAML-választ közvetlenül XML-nyelven találja meg.
- Ellenőrizze, hogy az attribútumok jelen vannak-e az IdP SAML-válaszában.
- Ha nem lát attribútumokat, az azt jelenti, hogy a Webex nem kapja meg őket az IdP-től. Ezért a problémát az IdP végétől kell kivizsgálni.
- Ha ellenőrizni szeretné, hogy az ADFS Webex a partikonfigurációra támaszkodik, Kattintson ide.
- Ha a konfiguráció jól néz ki, ellenőrizze az eseménymegtekintő naplóit.
- Keresse meg az ADFS-hibákat a Windows-naplókban:
- A Windows-naplókban keresse meg az ADFS 364-es eseménynapló-hibakódját. Az esemény részletei érvénytelen tanúsítványt azonosítanak. Ezekben az esetekben az ADFS-állomás nem engedélyezett a 80-as port tűzfalán keresztül a tanúsítvány érvényesítéséhez.
- Engedélyezze az IdP-hozzáférést a 80-as porthoz tűzfalon keresztül az internetre, hogy el tudja végezni a visszavonási listák ellenőrzését.
- Ha a port nyitva van, kövesse nyomon a Microsoftot és a tűzfalát.
- Ha a 80-as port nincs megnyitva a tűzfalon, vagy nem működik a visszavonási lista ellenőrzése, akkor tiltsa le a visszavonási lista használatát.
- Az ADFS-kiszolgálón > kattintson az Eseménynapló > alkalmazások > az ADFS > a rendszergazda > keresse meg a hibanaplót a bejelentkezést replikált időbélyegzőn. Ha a következő hibát látja:
Hiba: „Hiba történt az összevonási passzív kérelem során.
További adatprotokoll
neve: Saml
Függő fél: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Kivétel részletei:
neve: Saml
Függő fél: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Kivétel részletei:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: A függő fél bizalmi kapcsolatának titkosítási tanúsítványa "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' a "754B9208F1F75C5CC962750F3675C5D129471D80" ujjlenyomattal azonosított titkosítási tanúsítványa nem érvényes. Ez azt jelezheti, hogy a tanúsítványt visszavonták, lejárt, vagy hogy a tanúsítványlánc nem megbízható.
a Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult eredmény) címen
at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken kérés, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken kérés, List1 additionalClaims)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String & newSamlSession, String & samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)atMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)a Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context) címena Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler) címenat Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Íme az állásfoglalás:
- Nyissa meg a Powershellt az ADFS-en rendszergazdaként, és futtassa a parancsot:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Megjegyzés:
- Győződjön meg arról, hogy az azonosító URL-címét idézőjelben adja meg, és az azonosító URL-címe megtalálható a hibaüzenetben, másolja és illessze be.
- A Webex for Government (FedRAMP) Control Hub használata kötelező https://admin-usgov.webex.com/.
VAGY
- Nyissa meg a Powershellt az ADFS-en rendszergazdaként, és futtassa a parancsot:
Get-AdfsRelyingPartyTrust -Név „Cisco Webex” | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Megjegyzés: Ügyeljen arra, hogy a válaszadó fél bizalmának neve megegyezik az ADFS-en létrehozott ügyfél nevével és idézőjelben legyen megadva.
- Ellenőrizze az SSO-t a vezérlőközpontban az ellenőrzéshez.
Hasznos volt ez a cikk?
