Błąd logowania jednokrotnego podczas odnawiania certyfikatu usługi ZA pośrednictwem programu ADFS jako dostawcy tożsamości
Błąd logowania jednokrotnego podczas odnawiania certyfikatu SP za pośrednictwem programu ADFS jako dostawcy tożsamości.
Błąd logowania jednokrotnego podczas aktualizowania nowego certyfikatu SP w programie IdP (ADFS).
Błąd: Nieprawidłowy kod stanu w odpowiedzi.
Kroki do zbadania:
- Przechwyć ślad SAML, aby znaleźć odpowiedź SAML:
- Dodaj wtyczkę SAML Message Decoder do przeglądarki:
W przeglądarce Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Dla przeglądarki Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Otwórz wtyczkę i kliknij Kopiuj tę wiadomość.
- Otwórz Notatnik++, aby zainstalować Kliknij tutaj.
- Wklej wiadomość, aby znaleźć odpowiedź SAML bezpośrednio w języku XML.
- Sprawdź, czy atrybuty są obecne w odpowiedzi SAML od dostawcy tożsamości.
- Jeśli nie widzisz żadnych atrybutów, oznacza to, że Webex nie otrzymuje ich od IdP. W związku z tym problem ten musi zostać zbadany od końca IdP.
- Aby sprawdzić, czy ADFS Webex opiera się na konfiguracji strony, Kliknij tutaj.
- Jeśli konfiguracja wygląda dobrze, sprawdź dzienniki przeglądarki zdarzeń.
- Sprawdź, czy w dziennikach systemu Windows nie występują błędy programu ADFS:
- W dziennikach systemu Windows poszukaj kodu błędu 364 dziennika zdarzeń programu ADFS. Szczegóły zdarzenia identyfikują nieprawidłowy certyfikat. W takich przypadkach host programu ADFS nie może przejść przez zaporę na porcie 80 w celu sprawdzenia poprawności certyfikatu.
- Zezwól dostawcy tożsamości na dostęp do portu 80 za pomocą zapory sieciowej do Internetu, aby mógł wykonywać kontrole CRL.
- Jeśli port jest otwarty, skontaktuj się z firmą Microsoft i jej zaporą.
- Jeśli port 80 nie jest otwarty na zaporze lub kontrole CRL nie działają, wyłącz CRL.
- Na serwerze ADFS > kliknij pozycję Podgląd zdarzeń > Aplikacje > administrator > programu ADFS > wyszukać dziennik błędów po sygnaturze czasowej replikowanej nazwy logowania. Jeśli zobaczysz następujący błąd:
Błąd: "Wystąpił błąd podczas pasywnego żądania federacji.
Nazwa protokołu dodatkowych
danych: Saml
Relying Party: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Szczegóły wyjątku:
danych: Saml
Relying Party: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Szczegóły wyjątku:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Certyfikat szyfrowania zaufania jednostki uzależnionejhttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' "identyfikowany odciskiem palca "754B9208F1F75C5CC962750F3675C5D129471D80" jest nieprawidłowy. Może to oznaczać, że certyfikat został odwołany, wygasł lub że łańcuch certyfikatów nie jest zaufany.
w Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProl.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProl.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Oto uchwała:
- Otwórz program Powershell w programie ADFS jako administrator i uruchom polecenie:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Uwaga:
- Upewnij się, że wprowadź adres URL identyfikatora w cudzysłowie, a adres URL identyfikatora można znaleźć w komunikacie o błędzie, skopiuj go i wklej.
- Webex for Government (FedRAMP) Control Hub musi być używanyhttps://admin-usgov.webex.com/.
LUB
- Otwórz program Powershell w programie ADFS jako administrator i uruchom polecenie:
Get-AdfsRelyingPartyTrust -Nazwa "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Uwaga: Upewnij się, aby wprowadzić nazwę zaufania strony odpowiadającej tak samo jak jeden klient utworzony na jego ADFS i w cudzysłowie podwójnym.
- Przetestuj logowanie jednokrotne w Centrum sterowania, aby zweryfikować.
Czy ten artykuł był pomocny?
