Błąd logowania jednokrotnego podczas odnawiania certyfikatu usługi ZA pośrednictwem programu ADFS jako dostawcy tożsamości

Błąd logowania jednokrotnego podczas odnawiania certyfikatu SP za pośrednictwem programu ADFS jako dostawcy tożsamości.

Błąd logowania jednokrotnego podczas aktualizowania nowego certyfikatu SP w programie IdP (ADFS).

Błąd: Nieprawidłowy kod stanu w odpowiedzi.

Kroki do zbadania:

Przechwyć ślad SAML, aby znaleźć odpowiedź SAML:

Dodaj wtyczkę SAML Message Decoder do przeglądarki:
Przeglądarka Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Dla przeglądarki Firefox: https://addons.mozilla.org/pl-PL/firefox/addon/saml-message-decoder-extension/
Otwórz wtyczkę i kliknij Kopiuj tę wiadomość.

Otwórz Notepad++, aby zainstalować Kliknij tutaj.
- Wklej wiadomość, aby znaleźć odpowiedź SAML bezpośrednio w języku XML.

Sprawdź, czy atrybuty są obecne w odpowiedzi SAML od dostawcy tożsamości.
Jeśli nie widzisz żadnych atrybutów, oznacza to, że Webex nie otrzymuje ich od IdP. W związku z tym problem należy zbadać od końca dostawcy tożsamości.
Aby sprawdzić program ADFS Webex oparty na konfiguracji podmiotu, kliknij tutaj.
Gdy konfiguracja wygląda poprawnie, sprawdź dzienniki przeglądarki zdarzeń.
Sprawdź, czy w dziennikach systemu Windows nie występują błędy programu ADFS:

W dziennikach systemu Windows poszukaj kodu błędu 364 dziennika zdarzeń programu ADFS. Szczegóły zdarzenia identyfikują nieprawidłowy certyfikat. W takich przypadkach host programu ADFS nie może przejść przez zaporę na porcie 80 w celu sprawdzenia poprawności certyfikatu.
Zezwól dostawcy tożsamości na dostęp do portu 80 przez zaporę do Internetu, aby mógł on przeprowadzać kontrole list CRL.
- Jeśli port jest otwarty, skontaktuj się z firmą Microsoft i jej zaporą.
- Jeśli port 80 nie jest otwarty na zaporze lub sprawdzanie listy CRL nie działa, wyłącz listę CRL.

Na serwerze ADFS > kliknij pozycję Podgląd zdarzeń > Aplikacje > administrator > programuADFS > wyszukać dziennik błędów po sygnaturze czasowej replikowanej nazwy logowania. Jeśli widzisz następujący błąd:

Błąd: "Wystąpił błąd podczas pasywnego żądania federacji.

Dane dodatkowe
Nazwa protokołu: Saml
Osoba uzależniona: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Szczegóły wyjątku:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationWyjątek: msis3014: Certyfikat szyfrowania zaufania jednostki uzależnionej „https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx” identyfikowany odciskiem palca „754B9208F1F75C5CC962750F3675C5D129471D80” jest nieprawidłowy. Może to oznaczać, że certyfikat został odwołany, wygasł lub że łańcuch certyfikatów nie jest zaufany.

w Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)

w Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) w Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1 i identityClaimSet, List1 additionalClaims) w Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken, List1 additionalClaims)
w Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String & newSamlSession, String & samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
w Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String i samlpSessionState, String i samlpAuthenticationProvider)w Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement
w Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
w Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
w Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Oto rezolucja:

Otwórz program Powershell w programie ADFS jako administrator i uruchom polecenie:

Get-AdfsRelyingPartyTrust -Identyfikator 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Uwaga:

Pamiętaj, aby wprowadzić adres URL identyfikatora w cudzysłowie, a adres URL identyfikatora można znaleźć w komunikacie o błędzie, skopiuj go i wklej.
Webex for Government (FedRAMP) Control Hub musi używać https://admin-usgov.webex.com/.

lub

Otwórz program Powershell w programie ADFS jako administrator i uruchom polecenie:

Get-AdfsRelyingPartyTrust – Nazwa „Cisco Webex” | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Uwaga: pamiętaj, aby wprowadzić nazwę zaufania strony odpowiadającej taką samą, jak nazwę klienta utworzonego w programie ADFS i w cudzysłowie podwójnym.

Przetestuj logowanie jednokrotne w Control Hub, aby zweryfikować.

Dziękujemy za opinię.

Błąd logowania jednokrotnego podczas odnawiania certyfikatu SP za pośrednictwem programu ADFS jako dostawcy tożsamości.

Błąd logowania jednokrotnego podczas aktualizowania nowego certyfikatu SP w programie IdP (ADFS).

Błąd: Nieprawidłowy kod stanu w odpowiedzi.

Mała firma

Przedsiębiorstwo

Urządzenia

Rozwiązania dla

Materiały

Firma