ADFS를 통해 IDP로 SP 인증서를 갱신할 때 SSO 로그인 오류가 발생함

ADFS를 통해 IDP로 SP 인증서를 갱신할 때 SSO 로그인 오류가 발생합니다.

IdP(ADFS)에서 새로운 SP 인증서를 업데이트할 때 SSO 오류가 발생합니다.

오류 : 응답에 유효하지 않은 상태 코드.

조사 단계:

  1. SAML 추적을 캡처하여 SAML 응답 찾기
사용자 추가 이미지
  • Notepad++를 엽니다. 설치하려면 여기를 클릭
    • 메시지를 붙여넣어 XML 언어에서 직접 SAML 응답을 찾습니다.
  1. IdP의 SAML 응답에서 속성이 나타나는지 확인
  2. 속성이 나타나지 않는 경우, Webex가 IdP에서 수신하지 않고 있음을 의미합니다. 따라서 문제는 IdP 측에서 조사되어야 합니다.
  3. ADFS Webex 의존 대상 구성 확인 여기를 클릭
  4. 구성이 올바른 경우, 이벤트 뷰어 로그 확인
  5. Windows 로그에서 ADFS 오류 확인:
  • Windows 로그에서 ADFS 이벤트 로그 오류 코드 364를 찾습니다. 이벤트 세부 사항은 유효하지 않은 인증서를 식별합니다. 이러한 경우, ADFS 호스트는 포트 80에 있는 방화벽을 통해 인증서의 유효성을 검증할 수 없습니다.
  • IdP가 방화벽을 통해 인터넷으로 포트 80에 액세스하도록 허용하면 CRL 확인을 실행할 수 있습니다.
    • 포트가 열린 경우, Microsoft 및 방화벽을 팔로우업합니다.
    • 방화벽에서 포트 80이 열려 있지 않은 경우나, CRL 확인이 작동하지 않는 경우엔 CRL을 비활성화합니다.
  1. ADFS 서버에서 > 이벤트 뷰어 > 응용프로그램 > ADFS > 관리를 클릭하고 > 로그인을 복제한 타임스탬프에서 오류 로그를 검색합니다. 다음 오류가 나타나는 경우 :
오류: "페더레이션 수동 요청 중 오류가 발생함.
추가 데이터
프로토콜 이름: Saml
의존 대상: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
예외 세부 사항:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: 의존 대상 트러스트의 암호화 인증서 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' 섬프린트 '754B9208F1F75C5CC962750F3675C5D129471D80'으로 식별되는 인증서가 유효하지 않습니다. 인증서가 해지, 만료되었거나, 인증서 체인을 신뢰할 수 없음을 가리킬 수도 있습니다.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult 결과)
at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at  Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

해상도는 다음과 같습니다.
  • ADFS에서 관리자로 Powershell을 열고 다음 명령어를 실행합니다.
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx'  | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
참고: 식별자 URL을 따옴표로 묶어 입력하고 식별자 URL을 오류 메시지에서 찾을 수 있는지 확인한 후 복사하고 붙여넣습니다.
 
또는
  • ADFS에서 관리자로 Powershell을 열고 다음 명령어를 실행합니다.
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None
 
참고: 의존 대상 트러스트의 이름을 고객이 ADFS에서 작성한 정보와 동일하게 큰따옴표로 입력합니다.
  • Control Hub에서 SSO를 테스트하여 확인합니다.

이 문서가 도움이 되었습니까?