SSO accesso non riuscito durante il rinnovo del certificato SP tramite ADFS come IDP

SSO accesso non riuscito durante il rinnovo del certificato SP attraverso ADFS come IDP.

SSO durante l'aggiornamento del nuovo certificato SP su IdP (ADFS).

Errore: Codice stato non valido in risposta.

Procedura per la ricerca della ricerca:

Acquisire una traccia SAML per individuare la risposta SAML

Aggiungere il plug-in Decodifica messaggio SAML nel browser:
Per Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Per Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Aprire il plug-in e fare clic su Copy this message (Copia questomessaggio).

Aprire Notepad++, per installare Fare clic qui
- Incollare il messaggio per individuare direttamente la risposta SAML in lingua XML.

Controllare se gli attributi sono presenti nella risposta SAML dell'IdP
Se non viene visualizzato alcun attributo, significa che Webex non li riceve dall'IdP. Di conseguenza, è necessario ottenere la causa del problema dalla fine IdP
Controllare la configurazione della relying party ADFS Webex Fare clic qui
Una volta che la configurazione è fine, controllare i registri del Visualizzatore eventi.
Verificare gli errori ADFS nei registri Windows:

Nei registri di Windows, ricercare il codice di errore ADFS 364. I dettagli dell'evento identificano un certificato non valido. In questi casi, l'host AD FS non è autorizzato ad attraversare il firewall sulla porta 80 per convalidare il certificato.
Consentire l'accesso IdP alla porta 80 attraverso un firewall a Internet in modo che sia possibile eseguire controlli CRL.
- Se la porta è aperta, eseguire il follow-up di Microsoft e del relativo firewall.
- Se la porta 80 non è aperta sul firewall o i controlli CRL non funzionano, disabilitare CRL

Sul server ADFS > Clic su Visualizzatore eventi > Applicazioni > ADFS > Amministrazione > ricercare il registro degli errori in corrispondenza dell'indicatore di data/ora replicato per l'accesso. Se viene visualizzato il seguente errore:

Errore: "Si è verificato un errore durante la richiesta di estensione della federazione.

Nome protocollo
dati aggiuntivo: Relying
Party Saml: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Dettagli eccezione:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationException: MSIS3014: Il certificato di crittografia della parte attendibile 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identificato dall'identificazione personale '754B9208F1F75C5CC962750F3675C5D129471D80' non è valido. Potrebbe indicare che il certificato è stato revocato, che è scaduto o che la catena di certificati non è attendibile.

in Microsoft.IdentityModel.Thread.AsyncResult.End(IResult result)

su Microsoft.IdentityModel.Thread.TypedResult1.End(ITokenResult result) su Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(richiesta RequestSecurityToken, IList1& identityClaimSet, List1 additionalClaims) su Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
in Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String&newSamlSession, String&samlpSessionProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
in Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(contextHttpListenerContext, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, booleano isKmsiRequested, booleano isApplicationProxyTokenRequired, String&samlpSessionState, String&samlpSessionProvider)su Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, stringa relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, boolean isKmsiRequested, booleano isApplicationProxyTokenRequired) su Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
in Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
su Microsoft.IdentityServer.Web.TechnetProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, VpnProtocolHandler protocolHandler) su
Microsoft.IdentityServer.Web.TechnetProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Questa è la risoluzione:

Aprire PowerShell su ADFS come amministratore ed eseguire il comando:

Get-AdfsRelyingPartyTrust -Identificativo 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck Nessuno -EncryptionCertificateRevocationCheck Nessuno

Nota:

Accertarsi di inserire l'URL dell'identificativo tra le virgolette e l'URL dell'identificativo è disponibile nel messaggio di errore, copiarlo e incollarlo
Webex per il Settore pubblico (FedRAMP) deve utilizzare Control Hub idbroker-f.webex.com anziché idbroker.webex.com .

OPPURE

Aprire PowerShell su ADFS come amministratore ed eseguire il comando:

Get-AdfsRelyingPartyTrust -Name "Cisco Webex" Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None

Accertarsi di inserire il nome dell'attendibilità della parte di risposta uguale a quello del cliente creato su ADFS e tra virgolette.

Eseguire SSO test su Control Hub per verificare.