Eroare de conectare SSO la reînnoirea certificatului SP prin ADFS ca IDP

Eroare de conectare SSO la reînnoirea certificatului SP prin ADFS ca IDP.

Eroare SSO la actualizarea noului certificat SP pe IdP (ADFS).

Eroare : Cod de stare nevalid ca răspuns.

Pași pentru a investiga:

  1. Capturați o urmă SAML pentru a găsi răspunsul SAML
Imagine adăugată de utilizator
  • Deschideți Notepad ++, pentru a instala Click aici
    • Lipiți mesajul pentru a găsi răspunsul SAML direct în limba XML.
  1. Verificați dacă atributele sunt prezente în răspunsul SAML de la IdP
  2. Dacă nu vedeți atribute, înseamnă că Webex nu le primește de la IdP. Prin urmare, problema trebuie să fie investigate de la sfârșitul IdP
  3. Verificați configurația partidului bazându-vă ADFS Webex Faceți clic aici
  4. Când configurația arată bine, verificați jurnalele de vizualizare a evenimentelor
  5. Verificați dacă există erori ADFS în jurnalele Windows:
  • În jurnalele Windows, căutați codul de eroare ADFS jurnal de evenimente 364. Detaliile evenimentului identifică un certificat nevalid. În aceste cazuri, gazda ADFS nu este permisă prin paravanul de protecție pe portul 80 pentru a valida certificatul.
  • Permiteți accesul IdP la portul 80 printr-un firewall la internet, astfel încât să poată efectua verificări CRL.
    • Dacă portul este deschis, urmați-vă cu Microsoft și paravanul său de protecție.
    • Dacă portul 80 nu este deschis pe paravanul de protecție sau verificările LCR nu funcționează, atunci dezactivați LCR
  1. Pe serverul ADFS > Faceți clic pe Vizualizator evenimente > Aplicații >ADFS > Admin > căutați jurnalul de erori la ștampila de timp pe care ați reprodus-o. Dacă vedeți următoarea eroare :
Eroare: "Eroare întâlnită în timpul federalizării solicitare pasivă.
Nume protocol de date
suplimentare: Saml
bazându-se parte: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalii excepție:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Certificatul de criptare al trustului de parte bazându-se 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identificat prin amprenta "754B9208F1F75C5CC962750F3675C5D129471D80" nu este valid. Poate indica faptul că certificatul a fost revocat, a expirat sau că lanțul de certificate nu este de încredere.
la Microsoft.IdentityModel.Threading.AsyncResult.End (rezultatul IAsyncResult)
la Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(rezultatul IAsyncResult) la Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue (RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) la Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
la Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue (HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
la Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(Contextul ÎnvelitHttpListenerContext, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, ÎnfășuratHttpListenerContext context, șir bazându-sePartyIdentifier, SecurityTokenElement SignOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) la Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken (SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
la Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
la Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
la Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Aici este rezoluția:
  • Deschideți Powershell pe ADFS ca administrator și executați comanda:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Rețineți: Asigurați-vă că introduceți adresa URL a identificatorului în ghilimele și adresa URL a identificatorului poate fi găsită în mesajul de eroare, copiați-l și lipiți-l
 
SAU
  • Deschideți Powershell pe ADFS ca administrator și executați comanda,
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None
 
Rețineți: Asigurați-vă că introduceți numele încrederii părții care răspunde la fel ca un client creat pe ADFS și în ghilimele duble.
  • Testați SSO pe hubul de control pentru a verifica.

A fost util acest articol?