SSO-påloggingsfeil ved fornyelse av SP-sertifikatet gjennom ADFS som IDP

SSO-påloggingsfeil ved fornyelse av SP-sertifikatet gjennom ADFS som IDP.

SSO-feil ved oppdatering av nytt SP-sertifikat på IdP (ADFS).

Feil : Ugyldig statuskode som svar.

Fremgangsmåte for å undersøke:

  1. Ta opp en SAML-sporing for å finne SAML-svaret
Bilde som er lagt til av brukeren
  • Åpne Notisblokk++, for å installere Klikk her
    • Lim inn meldingen for å finne SAML-svaret på XML-språket direkte.
  1. Kontroller om attributtene finnes i SAML-svaret fra IdP
  2. Hvis du ikke ser noen attributter, betyr det at Webex ikke mottar dem fra IdP. Derfor må problemet undersøkes fra IdP-slutten
  3. Sjekk ADFS Webex beroende festkonfigurasjon Klikk her
  4. Når konfigurasjonen ser fin ut, kontrollerer du hendelseslisteloggene
  5. Se etter ADFS-feil i Windows-logger:
  • Se etter feilkode 364 for ADFS-hendelseslogg i Windows-loggene. Hendelsesinformasjonen identifiserer et ugyldig sertifikat. I disse tilfellene har ikke ADFS-verten tilgang til å komme seg gjennom brannmuren på port 80, for å validere sertifikatet.
  • Tillat IdP-tilgang til port 80 gjennom en brannmur til Internett, slik at den kan utføre CRL-kontroller.
    • Hvis porten er åpen, følger du opp med Microsoft og brannmuren.
    • Hvis port 80 ikke er åpen på brannmuren eller CRL-kontroller ikke fungerer, deaktiverer du CRL
  1. På ADFS-server > Klikk på Hendelsesliste > Programmer > ADFS > Admin > søke etter feilloggen på det tidspunktet du replikerte påloggingen. Hvis du ser følgende feil :
Feil: "Det oppstod en feil under passiv forespørsel fra federation.
Navn
på tilleggsdataprotokoll:
Saml-beroende parti: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detaljer om unntak:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Krypteringssertifikatet for den beroende partklareringen ,https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identifisert av avtrykket 754B9208F1F75C5CC962750F3675C5D129471D80, er ikke gyldig. Det kan tyde på at sertifikatet er tilbakekalt, utløpt eller at sertifikatkjeden ikke er klarert.
på Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult-resultat)
på Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecuritytoken request, List1 additionalClaims)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String&samlpAuthenticationProvider, Boolsk isUrlTranslationNeeded, WrappedHttpListenerContext kontekst, boolsk erKmquest
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext-kontekst, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String beroendePartyIdentifier, Boolsk erKmsiRequested, Boolsk isApplicationProxyTokenRequired, String&samlpSessionState, String&amp samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerialenTok( HttpSamlRequestMessage httpSamlRequest, innpakketHttpListenerContext-kontekst, Streng som er avhengig avPartyIdentifier, SecurityTokenElement-signOnTokenElement, boolsk erKmsiRequested, boolsk isApplicationProxyTokenRequired) på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SaSignInContext kontekst, SecurityToken securityToken, SecurityToken deviceToken deviceToken
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext-kontekst)
på Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
på Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Her er løsningen :
  • Åpne Powershell på ADFS som administrator, og kjør kommandoen:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Merk: Pass på at du skriver inn identifikator-URL-en i anførselstegn, og at identifikator-URL-en finnes i feilmeldingen, kopierer og limer den inn
 
ELLER
  • Åpne Powershell på ADFS som administrator og kjør kommandoen,
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None
 
Merk: Pass på at du skriver inn navnet på den svarende parten klarering samme som den ene kunden opprettet på sin ADFS og i doble tilbud.
  • Test SSO på kontrollhuben for å bekrefte.

Var denne artikkelen nyttig?