Var denne artikkelen nyttig?
Takk for tilbakemeldingen.
SSO-påloggingsfeil ved fornyelse av SP-sertifikatet gjennom ADFS som IDP
Tilbakemelding?SSO-påloggingsfeil ved fornyelse av SP-sertifikatet gjennom ADFS som IDP.
SSO-feil ved oppdatering av nytt SP-sertifikat på IdP (ADFS).
Feil: Ugyldig statuskode i respons.
Trinn for å undersøke:
- Ta opp et SAML-spor for å finne SAML-svaret:
- Legg til plugin-modulen SAML Message Decoder i nettleseren:
For Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
For Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Åpne plugin-modulen, og klikk på Kopier denne meldingen.
- Åpne Notepad++, for å installere Klikk her.
- Lim inn meldingen for å finne SAML-svaret i XML-språket direkte.
- Kontroller om attributtene finnes i SAML-svaret fra IdP.
- Hvis du ikke ser noen attributter, betyr det at Webex ikke mottar dem fra IdP. Derfor må problemet undersøkes fra IdP-siden.
- Hvis du vil sjekke ADFS Webex som er avhengig av partikonfigurasjon, Klikk her.
- Når konfigurasjonen ser fin ut, kontrollerer du hendelsesvisningsloggen.
- Se etter ADFS-feil i Windows-logger:
- Se etter feilkode 364 for ADFS-hendelseslogg i Windows-loggene. Hendelsesdetaljene identifiserer et ugyldig sertifikat. I slike tilfeller har ikke ADFS-verten tillatelse til å validere sertifikatet gjennom brannmuren på port 80.
- Gi IdP tilgang til port 80 via en brannmur til Internett, slik at den kan utføre CRL-kontroller.
- Hvis porten er åpen, må du følge opp med Microsoft og brannmuren.
- Hvis port 80 ikke er åpen på brannmuren eller CRL-kontroller ikke fungerer, deaktiverer du CRL.
- På ADFS-serveren > Klikk på Hendelsesvisning > Programmer > ADFS > Administrator > søk etter feilloggen da du replikerte påloggingen. Hvis du ser følgende feil:
Feil: «Det oppstod en feil under passiv forespørsel fra forbund.
Protokollnavn for tilleggsdata
: Saml
pålitelig part: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Unntaksinformasjon:
: Saml
pålitelig part: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Unntaksinformasjon:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Krypteringssertifikatet for den pålitelige parten «https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identifisert av miniatyrbildet «754B9208F1F75C5CC962750F3675C5D129471D80» er ikke gyldig. Det kan indikere at sertifikatet har blitt tilbakekalt, utløpt eller at sertifikatkjeden ikke er klarert.
på Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
på Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1 & identityClaimSet, List1 additionalClaims) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String & newSamlSession, String & samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String & samlpSessionState, String & samlpAuthenticationProvider)påMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext kontekst, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext kontekst, SecurityToken sikkerhetToken, SecurityToken deviceSecurityToken)på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)på Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)på Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Her er oppløsningen:
- Åpne Powershell på ADFS som administrator og kjør kommandoen:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Merk:
- Sørg for å skrive inn identifikator-URL-adressen i anførselstegn, og identifikator-URL-adressen finnes i feilmeldingen, kopier og lim den inn.
- Webex for Government (FedRAMP) Control Hub må bruke https://admin-usgov.webex.com/.
ELLER
- Åpne Powershell på ADFS som administrator og kjør kommandoen:
Get-AdfsRelyingPartyTrust -Navn «Cisco Webex» | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Merk: Sørg for å angi navnet på den svarende parten klarering samme som den ene kunden opprettet på sin ADFS og i doble tilbud.
- Test SSO på Control Hub for å bekrefte.
Var denne artikkelen nyttig?
