Egyszeri bejelentkezés sikertelen az SP-tanúsítvány ADFS-en keresztül IDP-ként történő megújításakor

Az SSO-bejelentkezés sikertelen az SP-tanúsítvány ADFS-en keresztül IDP-ként történő megújításakor.

Az SSO sikertelen az új SP-tanúsítvány IdP-n (ADFS) történő frissítésekor.

Hiba: Érvénytelen állapotkód a válaszban.

A kivizsgálás lépései:

SAML nyomkövetés rögzítése az SAML-válasz megtalálásához:

Adja hozzá a SAML Message Decoder beépülő modult a böngészőhöz:
Chrome esetén: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Firefox esetében: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Nyissa meg a beépülő modult, és kattintson az Üzenet másolása lehetőségre.

Nyissa meg a Notepad++ alkalmazást a telepítéshez Kattintson ide.
- Illessze be az üzenetet, hogy az SAML-választ közvetlenül XML nyelven találja meg.

Ellenőrizze, hogy az attribútumok jelen vannak-e az IdP SAML-válaszában.
Ha nem lát attribútumokat, az azt jelenti, hogy a Webex nem kapja meg őket az IdP-től. Ezért a problémát az IdP végétől kell kivizsgálni.
Ha ellenőrizni szeretné, hogy az ADFS Webex a partikonfigurációra támaszkodik, Kattintson ide.
Ha a konfiguráció jól néz ki, ellenőrizze az eseménymegtekintő naplóit.
Ellenőrizze az ADFS-hibákat a Windows-naplókban:

A Windows-naplókban keresse meg az ADFS eseménynapló 364-es hibakódját. Az esemény részletei érvénytelen tanúsítványt azonosítanak. Ezekben az esetekben az ADFS-állomás nem engedélyezett a 80-as port tűzfalán keresztül a tanúsítvány érvényesítéséhez.
Engedélyezze az IdP-hozzáférést a 80-as porthoz tűzfalon keresztül az internetre, hogy el tudja végezni a visszavonási listák ellenőrzését.
- Ha a port nyitva van, kövesse nyomon a Microsoftot és a tűzfalát.
- Ha a 80-as port nincs megnyitva a tűzfalon, vagy nem működik a visszavonási lista ellenőrzése, akkor tiltsa le a visszavonási lista használatát.

Az ADFS-kiszolgálón > Kattintson az Eseménymegtekintő > Alkalmazások > ADFS > Rendszergazda > keresse meg a hibanaplót a bejelentkezést replikált időbélyegzőn. Ha a következő hibát látja:

Hiba: "Hiba történt az összevonási passzív kérelem során.

További adatok
Protokoll neve: Szaml
Függő fél: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Kivétel részletei:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: msis3014: A függő fél bizalmi tanúsítványa „https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx” a „754B9208F1F75C5CC962750F3675C5D129471D80” ujjlenyomattal azonosított titkosítási tanúsítványa nem érvényes. Ez azt jelezheti, hogy a tanúsítványt visszavonták, lejárt, vagy hogy a tanúsítványlánc nem megbízható.

a Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult eredmény) címen

at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken kérés, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken kérés, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String & newSamlSession, String & samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
itt: Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement nameOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken
a Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context) címen
a Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler) címen
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Íme az állásfoglalás:

Nyissa meg a Powershellt az ADFS-en rendszergazdaként, és futtassa a parancsot:

Get-AdfsRelyingPartyTrust -Azonosító 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Megjegyzés:

Győződjön meg arról, hogy az azonosító URL-címét idézőjelben adja meg, és az azonosító URL-címe megtalálható a hibaüzenetben, másolja és illessze be.
A Webex for Government (FedRAMP) Control Hubnak a következőt kell használnia: https://admin-usgov.webex.com/.

vagy

Nyissa meg a Powershellt az ADFS-en rendszergazdaként, és futtassa a parancsot:

Get-AdfsRelyingPartyTrust -Név „Cisco Webex” | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Megjegyzés: Ügyeljen arra, hogy a válaszadó fél bizalmának neve megegyezik az ADFS-en létrehozott ügyfél nevével és idézőjelben legyen megadva.

Tesztelje az SSO-t a vezérlőpulton az ellenőrzéshez.

Köszönjük visszajelzését.

Az SSO-bejelentkezés sikertelen az SP-tanúsítvány ADFS-en keresztül IDP-ként történő megújításakor.

Az SSO sikertelen az új SP-tanúsítvány IdP-n (ADFS) történő frissítésekor.

Hiba: Érvénytelen állapotkód a válaszban.

Kisvállalkozások

Nagyvállalati

Eszközök

Megoldások a következőhöz:

Erőforrások

Vállalat