SSO aanmelden mislukt bij het vernieuwen van het SP-certificaat via ADFS als IDP

SSO aanmelding mislukt bij het vernieuwen van het SP-certificaat via ADFS als IDP.

SSO mislukt bij het bijwerken van een nieuw SP-certificaat in IdP (ADFS).

Fout: Ongeldige statuscode in het antwoord.

Stappen om te onderzoeken:

Leg een SAML-tracering vast om het SAML-antwoord te vinden:

Voeg de invoegtoepassing SAML Message Decoder toe aan de browser:
Voor Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Voor Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Open de plug-in en klik op Dit bericht kopiëren.

Door een gebruiker toegevoegde afbeelding

Open Notepad++, om Klik hier te installeren.
- Plak het bericht om de SAML-respons rechtstreeks in XML-taal te vinden.

Controleer of de kenmerken aanwezig zijn in de SAML-respons van IdP.
Als u geen kenmerken ziet, betekent dit dat Webex deze niet ontvangt van IdP. Daarom moet het probleem worden onderzocht vanaf IdP-einde.
Klik hier om de ADFS Webex te controleren op basis van de configuratie van de partij.
Als de configuratie er goed uitziet, controleert u de logboeken van de gebeurtenisviewer.
Controleer op ADFS-fouten in Windows-logboeken:

Zoek in de Windows-logboeken naar foutcode 364 van ADFS-gebeurtenislogboek. In de gebeurtenisdetails wordt een ongeldig certificaat vermeld. In deze gevallen mag de ADFS-host niet via de firewall op poort 80 het certificaat valideren.
Geef IdP toegang tot poort 80 via een firewall naar internet, zodat deze CRL-controles kan uitvoeren.
- Als de poort is geopend, volgt u Microsoft en de firewall.
- Als poort 80 niet is geopend in de firewall of de CRL-controles niet werken, schakelt u CRL uit.

Klik op ADFS-server > op Gebeurtenisviewer >-toepassingen > ADFS >-beheer > zoeken naar het foutenlogboek op de tijdstempel die u de aanmelding hebt gerepliceerd. Als de volgende fout wordt weergegeven:

Fout: 'Er is een fout opgetreden tijdens het federatieverzoek.

Naam van het Aanvullende gegevens
protocol: Partij die
afhankelijk is van Saml: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Uitzonderingsdetails:

Microsoft.IdentityServer.Service.SecurityTokenService.IntrekkingValidationException: MSIS3014: Het coderingscertificaat van het vertrouwen van de partij dat is geïdentificeerd methttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' duimafdruk '754B9208F1F75C5CC962750F3675C5D129471D80' is niet geldig. Het kan aangeven dat het certificaat is ingetrokken, verlopen of dat de certificaatketen niet wordt vertrouwd.

op Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult resultaat)

bij Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult resultaat) bij Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) bij Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)bij Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement namensOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Booleaanse isUrlTranslationNeeded, WrappedHttpListenerContext context, Booleaanse isKmsiRequested)bij Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement namensOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)atMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) bij Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context context, SecurityToken securityToken, SecurityToken deviceSecurityToken)bij Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)bij Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)bij Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Hier is de resolutie:

Open Powershell op ADFS als beheerder en voer de opdracht uit:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Opmerking:

Zorg ervoor dat u de id-URL in aanhalingstekens invoert en dat de id-URL te vinden is in het foutbericht. Kopieer en plak deze.
Webex for Government (FedRAMP) Control Hub moet gebruiken https://admin-usgov.webex.com/.

Open Powershell op ADFS als beheerder en voer de opdracht uit:

Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Opmerking: voer de naam van de antwoordende partij vertrouwen in, dezelfde als de klant die is gemaakt in zijn ADFS en in dubbele aanhalingstekens.

Test SSO de Control Hub om te verifiëren.

Hartelijk dank voor uw feedback

SSO aanmelding mislukt bij het vernieuwen van het SP-certificaat via ADFS als IDP.

SSO mislukt bij het bijwerken van een nieuw SP-certificaat in IdP (ADFS).

Fout: Ongeldige statuscode in het antwoord.

Klein bedrijf

Organisatie

Apparaten

Oplossingen voor

Resources

Company