SSO falha de logon ao renovar o certificado SP através do ADFS como IDP

SSO falha de logon ao renovar o certificado SP através do ADFS como IDP.

SSO ao atualizar novo certificado SP no IdP (ADFS).

Erro: código de status inválido na resposta.

Etapas para investigar:

  1. Capture um rastreamento SAML para encontrar a resposta SAML
Imagem adicionada pelo usuário
  • Abra Notepad++, para instalar Clique aqui
    • Colar a mensagem para encontrar a resposta SAML no idioma XML diretamente.
  1. Verifique se os atributos estão presentes na resposta SAML do IdP
  2. Se você não vê nenhum atributos, isso significa que o Webex não está recebendo eles do IdP. Portanto, o problema precisa ser investigado a partir do término do IdP
  3. Verifique a configuração de parte subjacente do ADFS Webex Clique aqui
  4. Quando a configuração estiver boa, verifique os registros do visualizador de eventos
  5. Verifique se há erros do ADFS nos registros do Windows:
  • Nos registros do Windows, procure o código de erro do registro de eventos do ADFS 364. Os detalhes do evento identificam um certificado inválido. Nesses casos, o host ADFS não tem permissão para validar o certificado através do firewall na porta 80.
  • Permita que o IdP acesse a porta 80 através de um firewall para a internet de modo que ele possa realizar verificações de CRL.
    • Se a porta estiver aberta, então siga com a Microsoft e seu firewall.
    • Se a porta 80 não estiver aberta no firewall ou as verificações CRL não estão funcionando, então desative o CRL
  1. No servidor ADFS > Clique no Visualizador de eventos > Aplicativos >ODFS > Admin > pesquisoupelo registro de erros no carimbo de data/hora que você replicava no logon. Se você vir o seguinte erro:
Erro: "Ocorreu um erro durante a solicitação in ativa da federação.
Nome do Protocolo
de Dados Adicionais: Parte
fundamental da Saml: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalhes da exceção:
Microsoft.IdentityServer.Service.SecurityTokenService.RevogaçãoValidationException: MSIS3014: O certificado de criptografia da confiança do parte subjacente ' identificado pela miniaturahttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' '754B9208F1F75C5CC962750F3675C5D129471D80' não é válido. Ele pode indicar que o certificado foi revogado, expirou ou que a cadeia de certificados não é confiável.
em Microsoft.IdentityModel.Threading.AsyncResult.end(resultado IAsyncResult)
em Microsoft.IdentityModel.Threading.TypedAsyncResult1.end(IAsyncResult result) em Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) no Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
em Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext contexto, Boolean isKmsiRequested)
em Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestHttpListenerContext context, httpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, ContextoHttpListenerContext, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) em Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
em Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext
context) em Microsoft.IdentityServer.Web.InativoProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, DynamicProtocolHandler protocolHandler)
em Microsoft.IdentityServer.Web.HandtocolListener.OnGetContext(ContextHttpListenerContext)"

Aqui está a resolução:
  • Abra o PowerShell no ADFS como administrador e execute o comando:
Get-AdfsRelyingPartyTrust -Identificador https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Nota: Certifique-se de inserir a URL do identificador nas aspas e o URL do identificador pode ser encontrado na mensagem de erro, copie e copie-a
 
OU
  • Abra o PowerShell no ADFS como administrador e execute o comando,
Get-AdfsRelyingPartyTrust -Nome "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None
 
Nota: Certifique-se de inserir o nome do confiável que responde como o único cliente criado no seu ADFS e em cotações duplas.
  • Teste SSO informações sobre o Control Hub para verificar.

Este artigo foi útil?