SSO aanmelden mislukt bij het vernieuwen van het SP-certificaat via ADFS als IDP

SSO aanmelding mislukt bij het vernieuwen van het SP-certificaat via ADFS als IDP.

SSO mislukt bij het bijwerken van een nieuw SP-certificaat in IdP (ADFS).

Fout: ongeldige statuscode in respons.

Stappen om te onderzoeken:

Leg een SAML-tracering vast om de SAML-respons te vinden:

Voeg de SAML Message Decoder-invoegtoepassing toe aan de browser:
Voor Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Voor Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Open de plug-in en klik op Dit bericht kopiëren.

Door een gebruiker toegevoegde afbeelding

Open Notepad++ om Klik hier te installeren.
- Plak het bericht om de SAML-respons rechtstreeks in XML-taal te vinden.

Controleer of de kenmerken aanwezig zijn in de SAML-respons van IdP.
Als u geen kenmerken ziet, betekent dit dat Webex deze niet ontvangt van IdP. Daarom moet het probleem worden onderzocht vanaf IdP-einde.
Als u de ADFS Webex wilt controleren op partijconfiguratie, klikt u hier.
Als de configuratie er goed uitziet, controleert u de logboeken van de gebeurtenisviewer.
Controleer op ADFS-fouten in Windows-logboeken:

Zoek in de Windows-logboeken naar foutcode 364 van ADFS-gebeurtenislogboek. In de gebeurtenisdetails wordt een ongeldig certificaat vermeld. In deze gevallen mag de ADFS-host niet via de firewall op poort 80 het certificaat valideren.
Geef IdP toegang tot poort 80 via een firewall naar het internet, zodat het CRL-controles kan uitvoeren.
- Als de poort is geopend, volg dan op met Microsoft en de firewall.
- Als poort 80 niet is geopend in de firewall of als de CRL-controles niet werken, schakelt u CRL uit.

Klik op ADFS-server > op Gebeurtenisviewer >-toepassingen > ADFS >-beheer > zoeken naar het foutenlogboek op de tijdstempel die u de aanmelding hebt gerepliceerd. Als u de volgende fout ziet:

Fout: "Er is een fout opgetreden tijdens het federatieverzoek.

Naam van
het aanvullende gegevensprotocol: Partij die
afhankelijk is van Saml: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Uitzonderingsdetails:

Microsoft.IdentityServer.Service.SecurityTokenService.IntrekkingValidationException: MSIS3014: Het coderingscertificaat van het vertrouwen van de partij dat is geïdentificeerd methttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' duimafdruk '754B9208F1F75C5CC962750F3675C5D129471D80' is niet geldig. Het kan aangeven dat het certificaat is ingetrokken, verlopen of dat de certificaatketen niet wordt vertrouwd.

op Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult resultaat)

op Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) op Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityTokenManager.Issue(RequestSecurityToken Request, List1 additionalClaims) bij Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
op Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
op Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseProcesWithSerializedToken( httpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, Reeks die afhankelijk is vanPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) op Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
op Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
op Microsoft.IdentityServer.Web.WrappeProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, InformatieProtocolHandler protocolHandler)
op Microsoft.IdentityServer.Web.BackupProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Hier is de resolutie:

Open Powershell op ADFS als beheerder en voer de opdracht uit:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Opmerking:

Zorg ervoor dat u de id-URL in aanhalingstekens invoert en dat de id-URL in het foutbericht wordt gevonden. Kopieer en plak deze.
Webex for Government (FedRAMP) Control Hub moet gebruiken idbroker-f.webex.com in plaats van idbroker.webex.com.

Open Powershell op ADFS als beheerder en voer de opdracht uit:

Get-AdfsRelyingPartyTrust -Naam "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Opmerking:Zorg ervoor dat u de naam van de antwoordende partij dezelfde vertrouwensrelatie invoert als de klant die is gemaakt op zijn ADFS en in dubbele aanhalingstekens.

Test SSO de Control Hub om te verifiëren.