Контент некоторых статей может отображаться непоследовательно. Приносим извинения, выполняется обновление веб-сайта.
cross icon
Ошибка входа SSO во время продления сертификата SP посредством ADFS в качестве IDP
list-menuОтправить обратную связь?

Сбой входа SSO при обновлении сертификата SP посредством ADFS в качестве IDP.

Сбой SSO при обновлении нового сертификата SP в IdP (ADFS).

Ошибка: недопустимый код состояния в ответе.

Действия для изучения.

  1. Сохраните трассировку SAML, чтобы найти ответ SAML.
Добавленное пользователем изображение
  • Откройте Notepad++, чтобы установить Щелкните здесь.
    • Вставьте сообщение, чтобы найти ответ SAML непосредственно на языке XML.
  1. Проверьте, присутствуют ли атрибуты в ответе SAML от IdP.
  2. Если атрибуты не отображаются, значит, Webex не получает их от IdP. Поэтому эту проблему необходимо исследовать с помощью IdP.
  3. Для проверки конфигурации стороны в ADFS Webex, зависящей от конфигурации стороны, щелкните здесь.
  4. Если конфигурация в порядке, проверьте журналы событий.
  5. Проверьте наличие ошибок ADFS в журналах Windows.
  • В журналах Windows найдите код ошибки журнала событий ADFS 364. В сведениях об event-совещании идентифицируется недействительный сертификат. В этих случаях хост ADFS не может проверить сертификат через брандмауэр на порте 80.
  • Разрешите поставщику удостоверений доступ к порту 80 через брандмауэр в Интернет, чтобы он мог выполнять проверки CRL.
    • Если порт открыт, следите за Microsoft и его брандмауэром.
    • Если порт 80 не открыт в брандмауэре или проверки CRL не работают, отключите CRL.
  1. На сервере ADFS щелкните Средство просмотра event-совещаний > Приложения > ADFS > Администратор > найдите журнал ошибок на метке времени, с которой вы реплицировали вход. Если отображается следующая ошибка:
Ошибка: "Во время пассивного запроса федерации произошла ошибка.
Дополнительные данные
Имя протокола: Самл
Проверяющая сторона: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Сведения об исключении:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: msis3014: Сертификат шифрования отношения доверия проверяющей стороны "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx", идентифицированный эскизом "754B9208F1F75C5CC962750F3675C5D129471D80", недействителен. Это может означать, что сертификат был отозван, срок его действия истек или цепочка сертификатов не является доверенной.
в Microsoft.IdentityModel.Threading.AsyncResult.End(результат IAsyncResult)
в Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(результат IAsyncResult) в Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) в Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
в Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
в Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)в  Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Bo
в Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
в Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
в Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Вот разрешение:
  • Откройте Powershell в ADFS в качестве администратора и выполните команду:
Get-AdfsRelyingPartyTrust -Identifier  'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx'  | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Примечание.
  • Обязательно введите URL идентификатора в кавычки, и URL идентификатора можно найти в сообщении об ошибке, скопировать и вставить его.
  • В Control Hub для решения "Webex для правительственных организаций" (FedRAMP) необходимо использовать  https://admin-usgov.webex.com/.

или

  • Откройте Powershell в ADFS в качестве администратора и выполните команду:
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Примечание. Обязательно введите имя отношения доверия с проверяющей стороной, совпадающее с именем, созданным клиентом в ADFS, в двойных кавычках.
 
  • Протестируйте SSO в Control Hub для проверки.

Была ли статья полезной?
Была ли статья полезной?