Egyszeri bejelentkezés sikertelen az SP-tanúsítvány ADFS-en keresztül IDP-ként történő megújításakor

Az egyszeri bejelentkezés sikertelen, amikor az SP-tanúsítványTDFS-en keresztül IDP-ként megújítja.

Az egyszeri bejelentkezés sikertelen az új SP-tanúsítvány idfs(ADFS) frissítésénél.

Hiba : Érvénytelen állapotkód válaszul.

A vizsgálat lépései:

  1. Saml nyomkövetés rögzítése a SAML-válasz megtalálásához
Felhasználó által hozzáadott kép
  • Nyissa meg a Jegyzettömböt++, a telepítéshez Kattintson ide
    • Illessze be az üzenetet, hogy az SAML-választ közvetlenül XML-nyelven találja meg.
  1. Ellenőrizze, hogy az attribútumok szerepelnek-e az IdP SAML-válaszában
  2. Ha nem lát attribútumokat, az azt jelenti, hogy a Webex nem kapja meg őket az IdP-től. Ezért a problémát az IDP végétől kell kivizsgálni.
  3. Ellenőrizze az ADFS Webex függő entitás konfigurációját Kattintson ide
  4. Ha a konfiguráció jól néz ki, ellenőrizze az eseménymegjelenítő naplóit
  5. Keresse meg az ADFS-hibákat a Windows-naplókban:
  • A Windows-naplókban keresse meg az ADFS 364-es eseménynapló-hibakódját. Az esemény részletei érvénytelen tanúsítványt azonosítanak. Ezekben az esetekben az ADFS-állomás nem engedélyezett a 80-as port tűzfalán keresztül a tanúsítvány érvényesítéséhez.
  • Lehetővé teszi az IdP-hozzáférést a 80-as porthoz tűzfalon keresztül az internetre, hogy elvégezhesse a visszavonási listák ellenőrzését.
    • Ha a port nyitva van, kövesse nyomon a Microsoftot és tűzfalát.
    • Ha a 80-as port nincs megnyitva a tűzfalon, vagy a visszavonási lista ellenőrzése nem működik, akkor tiltsa le a visszavonási lista
  1. Az ADFS-kiszolgálón > kattintson az Eseménynapló > alkalmazások > az ADFS > a rendszergazda > keresse meg a hibanaplót a bejelentkezést replikált időbélyegzőn. Ha a következő hibaüzenet jelenik meg:
Hiba: "Hiba történt az összevonási passzív kérelem során.
További
adatprotokoll neve: Saml
Függő fél: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Kivétel részletei:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: A függő fél bizalmi kapcsolatának titkosítási tanúsítványa "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' a "754B9208F1F75C5CC962750F3675C5D129471D80" ujjlenyomattal azonosított titkosítási tanúsítványa nem érvényes. Ez azt jelezheti, hogy a tanúsítványt visszavonták, lejárt, vagy hogy a tanúsítványlánc nem megbízható.
a Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult eredmény) címen
a Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult eredmény) címen: Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) címen: Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String/ newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
a Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.RequestBearerToken(BecsomagoltHttpListenerContext környezetben, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String/ samlpSessionState, String/ samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Íme az állásfoglalás:
  • Nyissa meg a Powershellt az ADFS-en rendszergazdaként, és futtassa a parancsot:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Megjegyzés: Győződjön meg róla, hogy az azonosító URL-címét idézőjelek között adja meg, és az azonosító URL-címe megtalálható a hibaüzenetben, másolja és illessze be
 
VAGY
  • Nyissa meg a Powershellt az ADFS-en rendszergazdaként, és futtassa a parancsot,
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None
 
Megjegyzés: Ügyeljen arra, hogy a válaszként válaszoló fél bizalmának neve megegyezik az ADFS-en létrehozott ügyfél nevével és idézőjelben.
  • Ellenőrizze az SSO-t a vezérlőközpontban az ellenőrzéshez.

Hasznos volt ez a cikk?