Eroare de conectare SSO la reînnoirea certificatului SP prin ADFS ca IDP

Eroare de conectare SSO la reînnoirea certificatului SP prin ADFS ca IDP.

Eroare SSO la actualizarea noului certificat SP pe IdP (ADFS).

Eroare : Cod de stare nevalid ca răspuns.

Pași pentru a investiga:

Capturați o urmă SAML pentru a găsi răspunsul SAML:

Adăugați pluginul SAML Message Decoder în browser:
Pentru Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Pentru Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Deschideți plugin-ul și faceți clic pe Copiați acest mesaj.

Deschideți Notepad++, pentru a instala Faceți clic aici.
- Lipiți mesajul pentru a găsi răspunsul SAML direct în limba XML.

Verificați dacă atributele sunt prezente în răspunsul SAML de la IdP.
Dacă nu vedeți atribute, înseamnă că Webex nu le primește de la IdP. Prin urmare, problema trebuie investigată de la sfârșitul IdP.
Pentru a verifica dacă ADFS Webex se bazează pe configurația de partid, Faceți clic aici.
Când configurația arată bine, verificați jurnalele de vizualizare a evenimentului.
Verificați dacă există erori ADFS în jurnalele Windows:

În jurnalele Windows, căutați codul de eroare ADFS jurnal de evenimente 364. Detaliile evenimentului identifică un certificat nevalid. În aceste cazuri, gazda ADFS nu este permisă prin paravanul de protecție pe portul 80 pentru a valida certificatul.
Permiteți accesul IdP la portul 80 printr-un firewall la internet, astfel încât să poată efectua verificări CRL.
- Dacă portul este deschis, apoi urmați cu Microsoft și firewall-ul său.
- Dacă portul 80 nu este deschis pe firewall sau verificările CRL nu funcționează, dezactivați CRL.

Pe serverul ADFS > Faceți clic pe Vizualizator evenimente > Aplicații > ADFS > Admin > căutați jurnalul de erori la ștampila de timp pe care ați reprodus-o. Dacă vedeți următoarea eroare:

Eroare: "Eroare întâlnită în timpul federalizării solicitare pasivă.

Nume protocol de date
suplimentare: Saml
bazându-se parte: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalii excepție:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Certificatul de criptare al trustului de parte bazându-se 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identificat prin amprenta "754B9208F1F75C5CC962750F3675C5D129471D80" nu este valid. Poate indica faptul că certificatul a fost revocat, a expirat sau că lanțul de certificate nu este de încredere.

la Microsoft.IdentityModel.Threading.AsyncResult.End (rezultatul IAsyncResult)

la Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(rezultatul IAsyncResult) la Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue (RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) la Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
la Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue (HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
la Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(Contextul ÎnvelitHttpListenerContext, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, ÎnfășuratHttpListenerContext context, șir bazându-sePartyIdentifier, SecurityTokenElement SignOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) la Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken (SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
la Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
la Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
la Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Iată rezoluția:

Deschideți Powershell pe ADFS ca administrator și executați comanda:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Notă:

Asigurați-vă că introduceți URL-ul identificatorului în citatele și URL-ul identificatorului poate fi găsit în mesajul de eroare, copiați-l și lipiți-l.
Webex for Government (FedRAMP) Control Hub trebuie să utilizeze idbroker-f.webex.com în loc de idbroker.webex.com.

Deschideți Powershell pe ADFS ca administrator și executați comanda:

Get-AdfsRelyingPartyTrust -Name „Cisco Webex” | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Notă: Asigurați-vă că introduceți numele părții răspunzătoare de încredere la fel ca și cel al clientului creat pe ADFS-ul său și în cotele duble.

Testați SSO pe hubul de control pentru a verifica.