Eroare de conectare SSO la reînnoirea certificatului SP prin ADFS ca IDP
Feedback?
Eroare de conectare SSO la reînnoirea certificatului SP prin ADFS ca IDP.
Eroare SSO la actualizarea noului certificat SP pe IdP (ADFS).
Eroare: Cod de stare nevalid ca răspuns.
Pași pentru a investiga:
- Capturați o urmă SAML pentru a găsi răspunsul SAML:
- Adăugați pluginul SAML Message Decoder în browser:
Pentru Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=ro
Pentru Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Deschideți pluginul și faceți clic pe Copiați acest mesaj.
- Deschideți Notepad++, pentru a instala Faceți clic aici.
- Lipiți mesajul pentru a găsi răspunsul SAML direct în limba XML.
- Verificați dacă atributele sunt prezente în răspunsul SAML de la IdP.
- Dacă nu vedeți atribute, înseamnă că Webex nu le primește de la IdP. Prin urmare, problema trebuie să fie investigată de la sfârșitul IdP.
- Pentru a verifica ADFS Webex care se bazează pe configurația partidului, Faceți clic aici.
- Când configurația arată bine, verificați jurnalele vizualizatorului de evenimente.
- Verificați dacă există erori ADFS în jurnalele Windows:
- În jurnalele Windows, căutați codul de eroare pentru jurnalul de evenimente ADFS 364. Detaliile evenimentului identifică un certificat nevalid. În aceste cazuri, gazda ADFS nu este permisă prin firewall pe portul 80 pentru a valida certificatul.
- Permiteți accesul IdP la portul 80 printr-un firewall la internet, astfel încât să poată efectua verificări CRL.
- Dacă portul este deschis, urmați-vă cu Microsoft și firewall-ul său.
- Dacă portul 80 nu este deschis pe firewall sau verificările CRL nu funcționează, dezactivați CRL.
- Pe serverul ADFS > Faceți clic pe Vizualizator evenimente > Aplicații > ADFS > Admin > căutați jurnalul de erori la ștampila de timp pe care ați replicat-o. Dacă vedeți următoarea eroare:
Eroare: „Eroare întâmpinată în timpul federării solicitării pasive.
Date suplimentare
Nume protocol: Saml (dezambiguizare)
Parte care se bazează: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalii excepție:
Nume protocol: Saml (dezambiguizare)
Parte care se bazează: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalii excepție:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: msis3014: Certificatul de criptare al trustului părții care se bazează „https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx” identificat prin amprenta „754B9208F1F75C5CC962750F3675C5D129471D80” nu este valid. Poate indica faptul că certificatul a fost revocat, a expirat sau că lanțul de certificate nu este de încredere.
la Microsoft.IdentityModel.Threading.AsyncResult.End (rezultat IAsyncResult)
la Microsoft.IdentityModel.Threading.TypedAsyncResult1.End (rezultat IAsyncResult) la Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue (RequestSecurityToken solicitare, IList1& identityClaimSet, List1 additionalClaims) la Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue (RequestSecurityToken solicitare, List1 additionalClaims)
pe Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Problemă (HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String & newSamlSession, String & samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
pe Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String & samlpSessionState, String & samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTo
pe Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process (ProtocolContext context)
pe Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest (ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
pe Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext (WrappedHttpListenerContext context)"
pe Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Problemă (HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String & newSamlSession, String & samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
pe Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String & samlpSessionState, String & samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTo
pe Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process (ProtocolContext context)
pe Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest (ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
pe Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext (WrappedHttpListenerContext context)"
Iată rezoluția:
- Deschideți Powershell pe ADFS ca administrator și executați comanda:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Notă:
- Asigurați-vă că introduceți URL-ul identificatorului în ghilimele, iar URL-ul identificatorului poate fi găsit în mesajul de eroare, copiați-l și lipiți-l.
- Control Hub Webex for Government (FedRAMP) trebuie să utilizeze https://admin-usgov.webex.com/.
sau
- Deschideți Powershell pe ADFS ca administrator și executați comanda:
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -CriptareCertificateRevocationCheck None
Notă: Asigurați-vă că introduceți numele încrederii părții care răspunde la fel ca un client creat pe ADFS și în ghilimele duble.
- Testați SSO pe Control Hub pentru a verifica.
A fost util acest articol?