SSO accesso non riuscito durante il rinnovo del certificato SP tramite ADFS come IDP
SSO accesso non riuscito durante il rinnovo del certificato SP attraverso ADFS come IDP.
SSO durante l'aggiornamento del nuovo certificato SP su IdP (ADFS).
Errore: Codice stato non valido in risposta.
Procedura per la ricerca della ricerca:
- Acquisire una traccia SAML per trovare la risposta SAML:
- Aggiungere il plug-in SAML Message Decoder al browser:
Per Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Per Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Aprire il plug-in e fare clic su Copy this message (Copia questomessaggio).
- Aprire Notepad++ per installare Fare clic qui.
- Incollare il messaggio per individuare direttamente la risposta SAML in lingua XML.
- Verificare se gli attributi sono presenti nella risposta SAML da IdP.
- Se non viene visualizzato alcun attributo, significa che Webex non li riceve dall'IdP. Pertanto, il problema deve essere esaminato da IdP end.
- Per verificare la configurazione del componente ADFS Webex, fare clic qui.
- Quando la configurazione è corretta, controllare i registri del visualizzatore eventi.
- Verificare gli errori ADFS nei registri Windows:
- Nei registri di Windows, ricercare il codice di errore ADFS 364. I dettagli dell'evento identificano un certificato non valido. In questi casi, l'host AD FS non è autorizzato ad attraversare il firewall sulla porta 80 per convalidare il certificato.
- Consentire l'accesso IdP alla porta 80 attraverso un firewall a Internet, in modo che possa eseguire controlli CRL.
- Se la porta è aperta, eseguire il follow-up con Microsoft e il relativo firewall.
- Se la porta 80 non è aperta sul firewall o i controlli CRL non funzionano, disabilitare CRL.
- Sul server ADFS > Clic su Visualizzatore eventi > Applicazioni > ADFS > Amministrazione > ricercare il registro degli errori in corrispondenza dell'indicatore di data/ora replicato per l'accesso. Se viene visualizzato il seguente errore:
Errore: "Si è verificato un errore durante la richiesta di estensione della federazione.
Nome protocollo
dati aggiuntivo: Relying
Party Saml: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Dettagli eccezione:
dati aggiuntivo: Relying
Party Saml: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Dettagli eccezione:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationException: MSIS3014: Il certificato di crittografia dell'attendibilità della relying party ' identificatahttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' dall'identificazione personale '754B9208F1F75C5CC962750F3675C5D129471D80' non è valido. Potrebbe indicare che il certificato è stato revocato, che è scaduto o che la catena di certificati non è attendibile.
in Microsoft.IdentityModel.Thread.AsyncResult.End(IResult result)
su Microsoft.IdentityModel.Thread.TypedResult1.End(ITokenResult result) su Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(richiesta RequestSecurityToken, IList1& identityClaimSet, List1 additionalClaims) su Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
in Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String&newSamlSession, String&samlpSessionProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
in Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(contextHttpListenerContext, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, booleano isKmsiRequested, booleano isApplicationProxyTokenRequired, String&samlpSessionState, String&samlpSessionProvider)su Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, stringa relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, boolean isKmsiRequested, booleano isApplicationProxyTokenRequired) su Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
in Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
su Microsoft.IdentityServer.Web.TechnetProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, VpnProtocolHandler protocolHandler) su
Microsoft.IdentityServer.Web.TechnetProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
in Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String&newSamlSession, String&samlpSessionProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
in Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(contextHttpListenerContext, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, booleano isKmsiRequested, booleano isApplicationProxyTokenRequired, String&samlpSessionState, String&samlpSessionProvider)su Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, stringa relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, boolean isKmsiRequested, booleano isApplicationProxyTokenRequired) su Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
in Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
su Microsoft.IdentityServer.Web.TechnetProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, VpnProtocolHandler protocolHandler) su
Microsoft.IdentityServer.Web.TechnetProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Ecco la risoluzione:
- Aprire PowerShell su ADFS come amministratore ed eseguire il comando:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Nota:
- Accertarsi di inserire l'URL dell'identificativo nelle virgolette e l'URL dell'identificativo è disponibile nel messaggio di errore, copiarlo e incollarlo.
- Webex for Government (FedRAMP) Control Hub deve utilizzare idbroker-f.webex.com invece di idbroker.webex.com.
OPPURE
- Aprire PowerShell su ADFS come amministratore ed eseguire il comando:
Get-AdfsRelyingPartyTrust -Nome "Cisco Webex" | Imposta-AdfsRelyingPartyTrust -FirmaCertificatoRevocaVerifica nessuno -CrittografiaCertificatoRevocaVerifica nessuno
Nota:Accertarsi di inserire il nome dell'attendibilità della parte che risponde come il cliente creato su ADFS e tra virgolette.
- Eseguire SSO test su Control Hub per verificare.
Questo articolo è stato utile?
