SSO falha de logon ao renovar o certificado SP através do ADFS como IDP

SSO falha de logon ao renovar o certificado SP através do ADFS como IDP.

SSO ao atualizar novo certificado SP no IdP (ADFS).

Erro: Código de status inválido na resposta.

Etapas para investigar:

Capture um rastreamento SAML para encontrar a resposta SAML:

Adicione o plug-in Decodificador de mensagens SAML ao navegador:
Para o Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
No Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Abra o plug-in e clique em Copiar esta mensagem.

Abra o Notepad++, para instalar Clique aqui.
- Colar a mensagem para encontrar a resposta SAML no idioma XML diretamente.

Verifique se os atributos estão presentes na resposta SAML do IdP.
Se você não vê nenhum atributos, isso significa que o Webex não está recebendo eles do IdP. Portanto, o problema precisa ser investigado a partir do final do IdP.
Para verificar o ADFS Webex com base na configuração da parte, clique aqui.
Quando a configuração estiver boa, verifique os registros do visualizador de eventos.
Verifique se há erros do ADFS nos registros do Windows:

Nos registros do Windows, procure o código de erro do registro de eventos do ADFS 364. Os detalhes do evento identificam um certificado inválido. Nesses casos, o host ADFS não tem permissão para validar o certificado através do firewall na porta 80.
Permita que o IdP acesse a porta 80 por meio de um firewall para a internet, de modo que ele possa realizar verificações de CRL.
- Se a porta estiver aberta, faça o acompanhamento com a Microsoft e seu firewall.
- Se a porta 80 não estiver aberta no firewall ou as verificações CRL não estiverem funcionando, desative a CRL.

No servidor ADFS > Clique no Visualizador de eventos > Aplicativos > ODFS > Admin > pesquisou pelo registro de erros no carimbo de data/hora que você replicava no logon. Se você vir o seguinte erro:

Erro: "Ocorreu um erro durante a solicitação passiva da federação.

Nome do protocolo de
dados adicionais: Parte
fundamental da Saml: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalhes da exceção:

Microsoft.IdentityServer.Service.SecurityTokenService.RevogaçãoValidationException: MSIS3014: O certificado de criptografia da confiança do parte subjacente ' identificado pela miniaturahttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' '754B9208F1F75C5CC962750F3675C5D129471D80' não é válido. Ele pode indicar que o certificado foi revogado, expirou ou que a cadeia de certificados não é confiável.

em Microsoft.IdentityModel.Threading.AsyncResult.end(resultado IAsyncResult)

em Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(resultado IAsyncResult) em Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) em Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)em Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement inNameOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)em Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement inNameOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)atMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)em Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)em Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)em Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Aqui está a resolução:

Abra o PowerShell no ADFS como administrador e execute o comando:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Nota:

Certifique-se de inserir o URL do identificador nas aspas e o URL do identificador pode ser encontrado na mensagem de erro, copie e cole-o.
O Control Hub do Webex for Government (FedRAMP) deve usar https://admin-usgov.webex.com/.

Abra o PowerShell no ADFS como administrador e execute o comando:

Obter-AdfsRelyingPartyTrust -Nome "Cisco Webex" | Definir-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Nota:certifique-se de inserir o nome do confiável que responde igual ao único cliente criado em seu ADFS e em cotações duplas.

Teste SSO informações sobre o Control Hub para verificar.

Obrigado pelos seus comentários.