SSO-påloggingsfeil ved fornyelse av SP-sertifikatet gjennom ADFS som IDP

SSO-påloggingsfeil ved fornyelse av SP-sertifikatet gjennom ADFS som IDP.

SSO-feil ved oppdatering av nytt SP-sertifikat på IdP (ADFS).

Feil : Ugyldig statuskode som svar.

Fremgangsmåte for å undersøke:

  1. Registrer en SAML-sporing for å finne SAML-svaret:
Bilde som er lagt til av brukeren
  • Åpne Notisblokk++ for å installere  Klikk her .
    • Lim inn meldingen for å finne SAML-svaret på XML-språket direkte.
  1. Kontroller om attributtene finnes i SAML-svaret fra IdP.
  2. Hvis du ikke ser noen attributter, betyr det at Webex ikke mottar dem fra IdP. Derfor må problemet undersøkes fra IdP-enden.
  3. Hvis du vil kontrollere ADFS Webex som er avhengig av partskonfigurasjonen, Klikk her .
  4. Når konfigurasjonen ser bra ut, kontrollerer du loggen for hendelsesvisning.
  5. Se etter ADFS-feil i Windows-logger:
  • Se etter feilkode 364 for ADFS-hendelseslogg i Windows-loggene. Hendelsesinformasjonen identifiserer et ugyldig sertifikat. I disse tilfellene har ikke ADFS-verten tilgang til å komme seg gjennom brannmuren på port 80, for å validere sertifikatet.
  • Gi IdP tilgang til port 80 via en brannmur til Internett, slik at den kan utføre CRL-kontroller.
    • Hvis porten er åpen, følger du opp med Microsoft og brannmuren.
    • Hvis port 80 ikke er åpen i brannmuren eller CRL-kontroller ikke fungerer, må du deaktivere CRL.
  1. På ADFS-server > Klikk på Hendelsesliste > Programmer > ADFS > Admin > søke etter feilloggen på det tidspunktet du replikerte påloggingen. Hvis du ser følgende feil:
Feil: "Det oppstod en feil under passiv forespørsel fra federation.
Navn
på tilleggsdataprotokoll:
Saml-beroende parti: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detaljer om unntak:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Krypteringssertifikatet for den beroende partklareringen ,https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identifisert av avtrykket 754B9208F1F75C5CC962750F3675C5D129471D80, er ikke gyldig. Det kan tyde på at sertifikatet er tilbakekalt, utløpt eller at sertifikatkjeden ikke er klarert.
på Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult-resultat)
på Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecuritytoken request, List1 additionalClaims)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String&samlpAuthenticationProvider, Boolsk isUrlTranslationNeeded, WrappedHttpListenerContext kontekst, boolsk erKmquest
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext-kontekst, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String beroendePartyIdentifier, Boolsk erKmsiRequested, Boolsk isApplicationProxyTokenRequired, String&samlpSessionState, String&amp samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerialenTok( HttpSamlRequestMessage httpSamlRequest, innpakketHttpListenerContext-kontekst, Streng som er avhengig avPartyIdentifier, SecurityTokenElement-signOnTokenElement, boolsk erKmsiRequested, boolsk isApplicationProxyTokenRequired) på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SaSignInContext kontekst, SecurityToken securityToken, SecurityToken deviceToken deviceToken
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext-kontekst)
på Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
på Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Her er oppløsningen:
  • Åpne Powershell på ADFS som administrator, og kjør kommandoen:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Merk:
  • Sørg for å skrive inn identifikasjons-URL-adressen i anførselstegn, og identifikator-URL-en finner du i feilmelding, kopier og lim den inn.
  • Webex for Government (FedRAMP) Control Hub må bruke  https://admin-usgov.webex.com/.

ELLER

  • Åpne Powershell på ADFS som administrator, og kjør kommandoen:
Get-AdfsRelyingPartyTrust -Name "Cisco Webex"| Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck Ingen -EncryptionCertificateRevocationCheck Ingen
Merk: : Sørg for å skrive inn navnet på den svarte partens klarering, det samme som kunden opprettet på ADFS-en, og i anførselstegn.
 
  • Test SSO på kontrollhuben for å bekrefte.
Var denne artikkelen nyttig?