SSO accesso non riuscito durante il rinnovo del certificato SP tramite ADFS come IDP

SSO accesso non riuscito durante il rinnovo del certificato SP tramite ADFS come IDP.

SSO durante l'aggiornamento del nuovo certificato SP su IdP (ADFS).

Errore: Codice stato non valido in risposta.

Procedura per la ricerca della ricerca:

Acquisire una traccia SAML per individuare la risposta SAML:

Aggiungere il plug-in Decodifica messaggio SAML al browser:
Per Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Per Firefox: https://addons.mozilla.org/it-IT/firefox/addon/saml-message-decoder-extension/
Aprire il plug-in e fare clic su Copia questo messaggio.

Aprire Notepad++, per installare Fare clic qui.
- Incollare il messaggio per individuare direttamente la risposta SAML in lingua XML.

Controllare se gli attributi sono presenti nella risposta SAML dell'IdP.
Se non viene visualizzato alcun attributo, significa che Webex non li riceve dall'IdP. Pertanto, è necessario ricercare la causa del problema dalla fine IdP.
Per controllare la configurazione di ADFS Webex relying sulla parte, fai clic qui.
Una volta che la configurazione è fine, controllare i registri del Visualizzatore eventi.
Verificare gli errori ADFS nei registri Windows:

Nei registri di Windows, ricercare il codice di errore del registro eventi AD FS 364. I dettagli dell'evento identificano un certificato non valido. In questi casi, l'host AD FS non è consentito tramite il firewall sulla porta 80 per convalidare il certificato.
Consentire l'accesso IdP alla porta 80 attraverso un firewall a Internet, in modo che possa eseguire controlli CRL.
- Se la porta è aperta, eseguire il follow-up di Microsoft e del relativo firewall.
- Se la porta 80 non è aperta sul firewall o i controlli CRL non funzionano, disabilitare CRL.

Sul server ADFS > Fare clic su Visualizzatore eventi > Applicazioni > ADFS > Amministrazione > ricercare il registro degli errori in corrispondenza dell'indicatore di data/ora replicato per l'accesso. Se viene visualizzato il seguente errore:

Errore: "Si è verificato un errore durante la richiesta di federazione passiva.

Dati aggiuntivi
Nome protocollo: Categoria: Saml
Componente: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Dettagli eccezione:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationException: msis3014: Il certificato di crittografia dell'attendibilità della relying party 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identificato dall'identificazione personale '754B9208F1F75C5CC962750F3675C5D129471D80' non è valido. Potrebbe indicare che il certificato è stato revocato, che è scaduto o che la catena di certificati non è attendibile.

in Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)

in Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) in Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) in Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
in Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired
in Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
in Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
presso Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Di seguito la risoluzione:

Aprire Powershell su ADFS come amministratore ed eseguire il comando:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Nota:

Accertarsi di inserire l'URL dell'identificativo tra le virgolette e l'URL dell'identificativo è disponibile nel messaggio di errore, copiarlo e incollarlo.
Webex per il Settore pubblico (FedRAMP) Control Hub deve utilizzare https://admin-usgov.webex.com/.

Aprire Powershell su ADFS come amministratore ed eseguire il comando:

Get-AdfsRelyingPartyTrust -Nome "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Nota: accertarsi di inserire il nome dell'attendibilità della parte di risposta uguale a quello del cliente creato su AD FS e tra virgolette.

Eseguire un test SSO su Control Hub per verificare.

Grazie per il feedback.