SSO falha de logon ao renovar o certificado SP através do ADFS como IDP

SSO falha de logon ao renovar o certificado SP através do ADFS como IDP.

SSO ao atualizar novo certificado SP no IdP (ADFS).

Erro: código de status inválido na resposta.

Etapas para investigar:

  1. Capture um rastreamento SAML para encontrar a resposta SAML:
Imagem adicionada pelo usuário
  • Abra o Bloco de Notas++ para instalar Clique aqui .
    • Colar a mensagem para encontrar a resposta SAML no idioma XML diretamente.
  1. Verifique se os atributos estão presentes na resposta SAML do IdP.
  2. Se você não vê nenhum atributos, isso significa que o Webex não está recebendo eles do IdP. Portanto, o problema precisa ser investigado a partir do término do IdP.
  3. Para verificar o ADFS Webex que depende da configuração da parte, Clique aqui .
  4. Quando a configuração estiver boa, verifique os registros do visualizador de eventos.
  5. Verifique se há erros do ADFS nos registros do Windows:
  • Nos registros do Windows, procure o código de erro do registro de eventos do ADFS 364. Os detalhes do evento identificam um certificado inválido. Nesses casos, o host ADFS não tem permissão para validar o certificado através do firewall na porta 80.
  • Permita que o IdP acesse a porta 80 através de um firewall para a Internet, para que ele possa realizar verificações de CRL.
    • Se a porta estiver aberta, faça o acompanhamento com a Microsoft e seu firewall.
    • Se a porta 80 não estiver aberta no firewall ou as verificações CRL não estiverem funcionando, desative o CRL.
  1. No servidor ADFS > Clique no Visualizador de eventos > Aplicativos > ODFS > Admin > pesquisou pelo registro de erros no carimbo de data/hora que você replicava no logon. Se você vir o seguinte erro:
Erro: "Ocorreu um erro durante a solicitação in ativa da federação.
Nome do Protocolo
de Dados Adicionais: Parte
fundamental da Saml: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalhes da exceção:
Microsoft.IdentityServer.Service.SecurityTokenService.RevogaçãoValidationException: MSIS3014: O certificado de criptografia da confiança do parte subjacente ' identificado pela miniaturahttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' '754B9208F1F75C5CC962750F3675C5D129471D80' não é válido. Ele pode indicar que o certificado foi revogado, expirou ou que a cadeia de certificados não é confiável.
em Microsoft.IdentityModel.Threading.AsyncResult.end(resultado IAsyncResult)
em Microsoft.IdentityModel.Threading.TypedAsyncResult1.end(IAsyncResult result) em Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) no Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
em Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext contexto, Boolean isKmsiRequested)
em Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestHttpListenerContext context, httpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, ContextoHttpListenerContext, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) em Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
em Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext
context) em Microsoft.IdentityServer.Web.InativoProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, DynamicProtocolHandler protocolHandler)
em Microsoft.IdentityServer.Web.HandtocolListener.OnGetContext(ContextHttpListenerContext)"

Aqui está a resolução:
  • Abra o PowerShell no ADFS como administrador e execute o comando:
Get-AdfsRelyingPartyTrust -Identificador https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Nota:
  • Certifique-se de inserir a URL do identificador entre aspas e a URL do identificador pode ser encontrada na mensagem de erro, copie e cole-a.
  • O Webex for Government (FedRAMP) Control Hub deve usar idbroker-f.webex.com em vez de idbroker.webex.com -.

OU
 

  • Abra o PowerShell no ADFS como administrador e execute o comando:
Get-AdfsRelyingPartyTrust -Nome "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Nota :Certifique-se de inserir o nome do confiável que responde como o único cliente criado em seu ADFS e em aspas duplas.
 
  • Teste SSO informações sobre o Control Hub para verificar.
Este artigo foi útil?