Błąd logowania jednokrotnego podczas odnawiania certyfikatu usługi ZA pośrednictwem programu ADFS jako dostawcy tożsamości

Błąd logowania jednokrotnego podczas odnawiania certyfikatu SP za pośrednictwem programu ADFS jako dostawcy tożsamości.

Błąd logowania jednokrotnego podczas aktualizowania nowego certyfikatu SP w programie IdP (ADFS).

Błąd: Nieprawidłowy kod stanu w odpowiedzi.

Kroki do zbadania:

  1. Przechwytywanie śladu SAML w celu znalezienia odpowiedzi SAML
Obraz dodany przez użytkownika
  • Otwórz Notepad ++, aby zainstalować Kliknij tutaj
    • Wklej wiadomość, aby znaleźć odpowiedź SAML bezpośrednio w języku XML.
  1. Sprawdzanie, czy atrybuty są obecne w odpowiedzi SAML od dostawcy tożsamości
  2. Jeśli nie widzisz żadnych atrybutów, oznacza to, że Webex nie otrzymuje ich od IdP. W związku z tym problem należy zbadać od końca IdP
  3. Sprawdź konfigurację jednostki uzależnionej Webex programu ADFS Kliknij tutaj
  4. Gdy konfiguracja wygląda poprawnie, sprawdź dzienniki podglądu zdarzeń
  5. Sprawdź, czy w dziennikach systemu Windows nie występują błędy programu ADFS:
  • W dziennikach systemu Windows poszukaj kodu błędu 364 dziennika zdarzeń programu ADFS. Szczegóły zdarzenia identyfikują nieprawidłowy certyfikat. W takich przypadkach host programu ADFS nie może przejść przez zaporę na porcie 80 w celu sprawdzenia poprawności certyfikatu.
  • Zezwól dostawcy tożsamości na dostęp do portu 80 przez zaporę do Internetu, aby mógł on przeprowadzać kontrole list CRL.
    • Jeśli port jest otwarty, skontaktuj się z firmą Microsoft i jej zaporą.
    • Jeśli port 80 nie jest otwarty na zaporze lub sprawdzanie listy CRL nie działa, wyłącz listę CRL
  1. Na serwerze ADFS > kliknij pozycję Podgląd zdarzeń > Aplikacje > administrator > programuADFS > wyszukać dziennik błędów po sygnaturze czasowej replikowanej nazwy logowania. Jeśli widzisz następujący błąd:
Błąd: "Wystąpił błąd podczas pasywnego żądania federacji.
Nazwa protokołu dodatkowych
danych: Saml
Relying Party: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Szczegóły wyjątku:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Certyfikat szyfrowania zaufania jednostki uzależnionejhttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' "identyfikowany odciskiem palca "754B9208F1F75C5CC962750F3675C5D129471D80" jest nieprawidłowy. Może to oznaczać, że certyfikat został odwołany, wygasł lub że łańcuch certyfikatów nie jest zaufany.
w Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProl.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Oto rezolucja:
  • Otwórz program Powershell w programie ADFS jako administrator i uruchom polecenie:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Uwaga: Pamiętaj, aby wprowadzić adres URL identyfikatora w cudzysłowie, a adres URL identyfikatora można znaleźć w komunikacie o błędzie, skopiuj go i wklej
 
LUB
  • Otwórz program Powershell w programie ADFS jako administrator i uruchom polecenie,
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None
 
Uwaga: Pamiętaj, aby wprowadzić nazwę zaufania strony odpowiadającej taką samą, jak nazwę klienta utworzonego w programie ADFS i w cudzysłowie podwójnym.
  • Przetestuj logowanie jednokrotne w Centrum sterowania, aby zweryfikować.

Czy ten artykuł był pomocny?