SSO aanmelden mislukt bij het vernieuwen van het SP-certificaat via ADFS als IDP
Feedback?
SSO aanmelden mislukt bij het vernieuwen van het SP-certificaat via ADFS als IDP.
SSO mislukt bij het bijwerken van een nieuw SP-certificaat in IdP (ADFS).
Fout: ongeldige statuscode in respons.
Stappen om te onderzoeken:
- Leg een SAML-tracering vast om het SAML-antwoord te vinden:
- Voeg de invoegtoepassing SAML Message Decoder toe aan de browser:
Voor Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Voor Firefox: https://addons.mozilla.org/nl-NL/firefox/addon/saml-message-decoder-extension/ - Open de plug-in en klik op Dit bericht kopiëren.
- Open Notepad++, om Klik hier te installeren.
- Plak het bericht om het SAML-antwoord rechtstreeks in XML-taal te vinden.
- Controleer of de kenmerken aanwezig zijn in de SAML-respons van IdP.
- Als u geen kenmerken ziet, betekent dit dat Webex deze niet ontvangt van IdP. Daarom moet het probleem worden onderzocht vanaf IdP-einde.
- Klik hier om de ADFS Webex te controleren op basis van de configuratie van de partij.
- Als de configuratie er goed uitziet, controleert u de logboeken van de gebeurtenisviewer.
- Controleer op ADFS-fouten in Windows-logboeken:
- Zoek in de Windows-logboeken naar foutcode 364 van het ADFS-gebeurtenislogboek. In de gebeurtenisdetails wordt een ongeldig certificaat aangegeven. In deze gevallen mag de ADFS-host niet via de firewall op poort 80 het certificaat valideren.
- Geef IdP toegang tot poort 80 via een firewall naar internet, zodat deze CRL-controles kan uitvoeren.
- Als de poort is geopend, volgt u Microsoft en de firewall.
- Als poort 80 niet is geopend in de firewall of de CRL-controles niet werken, schakelt u CRL uit.
- Klik op ADFS-server > op Gebeurtenisviewer > Toepassingen > ADFS > Beheer > zoeken naar het foutenlogboek op de tijdstempel die u de aanmelding hebt gerepliceerd. Als de volgende fout wordt weergegeven:
Fout: "Er is een fout opgetreden tijdens het federatieverzoek.
Aanvullende gegevens
Protocolnaam: Categorie: Saml
Derde partij: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Uitzonderingsdetails:
Protocolnaam: Categorie: Saml
Derde partij: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Uitzonderingsdetails:
Microsoft.IdentityServer.Service.SecurityTokenService.IntrekkingValidationException: msis3014: Het coderingscertificaat van het vertrouwen van de derde partij 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' geïdentificeerd met duimafdruk '754B9208F1F75C5CC962750F3675C5D129471D80' is niet geldig. Het kan aangeven dat het certificaat is ingetrokken, verlopen of dat de certificaatketen niet wordt vertrouwd.
bij Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult resultaat)
bij Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult resultaat) bij Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) bij Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
bij Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement namensOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Booleaanse isUrlTranslationNeeded, WrappedHttpListenerContext context, Booleaanse isKmsiRequested)
bij Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement namensOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)bij Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxy
bij Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
bij Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
bij Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
bij Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement namensOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Booleaanse isUrlTranslationNeeded, WrappedHttpListenerContext context, Booleaanse isKmsiRequested)
bij Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement namensOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)bij Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxy
bij Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
bij Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
bij Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Hier is de resolutie:
- Open Powershell op ADFS als beheerder en voer de opdracht uit:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Opmerking:
- Zorg ervoor dat u de id-URL in aanhalingstekens invoert en dat de id-URL te vinden is in het foutbericht. Kopieer en plak deze.
- Webex for Government (FedRAMP) Control Hub moet gebruikmaken van https://admin-usgov.webex.com/.
of
- Open Powershell op ADFS als beheerder en voer de opdracht uit:
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Opmerking: voer de naam van de antwoordende partij vertrouwen in, dezelfde als de klant die is gemaakt in zijn ADFS en in dubbele aanhalingstekens.
- Test SSO op de Control Hub om te verifiëren.
Vond u dit artikel nuttig?