SSO-påloggingsfeil ved fornyelse av SP-sertifikatet gjennom ADFS som IDP

SSO-påloggingsfeil ved fornyelse av SP-sertifikatet gjennom ADFS som IDP.

SSO-feil ved oppdatering av nytt SP-sertifikat på IdP (ADFS).

Feil : Ugyldig statuskode som svar.

Fremgangsmåte for å undersøke:

Ta opp en SAML-sporing for å finne SAML-svaret

Legg til SAML Message Decoder-plugin-modulen i nettleseren:
For Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=no
For Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Åpne plugin-modulen og klikk på Kopier denne meldingen.

Åpne Notisblokk++, for å installere Klikk her
- Lim inn meldingen for å finne SAML-svaret på XML-språket direkte.

Kontroller om attributtene finnes i SAML-svaret fra IdP
Hvis du ikke ser noen attributter, betyr det at Webex ikke mottar dem fra IdP. Derfor må problemet undersøkes fra IdP-slutten
Sjekk ADFS Webex beroende festkonfigurasjon Klikk her
Når konfigurasjonen ser fin ut, kontrollerer du hendelseslisteloggene
Se etter ADFS-feil i Windows-logger:

Se etter feilkode 364 for ADFS-hendelseslogg i Windows-loggene. Hendelsesinformasjonen identifiserer et ugyldig sertifikat. I disse tilfellene har ikke ADFS-verten tilgang til å komme seg gjennom brannmuren på port 80, for å validere sertifikatet.
Tillat IdP-tilgang til port 80 gjennom en brannmur til Internett, slik at den kan utføre CRL-kontroller.
- Hvis porten er åpen, følger du opp med Microsoft og brannmuren.
- Hvis port 80 ikke er åpen på brannmuren eller CRL-kontroller ikke fungerer, deaktiverer du CRL

På ADFS-server > Klikk på Hendelsesliste > Programmer > ADFS > Admin > søke etter feilloggen på det tidspunktet du replikerte påloggingen. Hvis du ser følgende feil :

Feil: "Det oppstod en feil under passiv forespørsel fra federation.

Navn
på tilleggsdataprotokoll:
Saml-beroende parti: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxxx
Unntaksdetaljer:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Krypteringssertifikatet til den tillitsfulle parten «https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx» identifisert med tommelfingeravtrykket «754B9208F1F75C5CC962750F3675C5D1294» er ikke gyldig. Det kan tyde på at sertifikatet er tilbakekalt, utløpt eller at sertifikatkjeden ikke er klarert.

på Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult-resultat)

på Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecuritytoken request, List1 additionalClaims)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String&samlpAuthenticationProvider, Boolsk isUrlTranslationNeeded, WrappedHttpListenerContext kontekst, boolsk erKmquest
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext-kontekst, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String beroendePartyIdentifier, Boolsk erKmsiRequested, Boolsk isApplicationProxyTokenRequired, String&samlpSessionState, String&amp samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerialenTok( HttpSamlRequestMessage httpSamlRequest, innpakketHttpListenerContext-kontekst, Streng som er avhengig avPartyIdentifier, SecurityTokenElement-signOnTokenElement, boolsk erKmsiRequested, boolsk isApplicationProxyTokenRequired) på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SaSignInContext kontekst, SecurityToken securityToken, SecurityToken deviceToken deviceToken
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext-kontekst)
på Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
på Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Her er løsningen :

Åpne Powershell på ADFS som administrator, og kjør kommandoen:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck Ingen -EncryptionCertificateRevocationCheck Ingen

Merk:

Pass på at du skriver inn identifikator-URL-en i anførselstegn, og at identifikator-URL-en finnes i feilmeldingen, kopierer og limer den inn
Webex for Government (FedRAMP) Control Hub må bruke idbroker-f.webex.com i stedet for idbroker.webex.com .

ELLER

Åpne Powershell på ADFS som administrator, og kjør kommandoen:

Get-AdfsRelyingPartyTrust -Name "Cisco Webex" Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None

Pass på at du skriver inn navnet på den svarende parten klarering samme som den ene kunden opprettet på sin ADFS og i doble tilbud.

Test SSO på kontrollhuben for å bekrefte.