Zlyhanie prihlásenia SSO pri obnove certifikátu SP prostredníctvom ADFS ako IDP

Zlyhanie prihlásenia SSO pri obnovovaní certifikátu SP prostredníctvom ADFS ako IDP.

Zlyhanie jediného prihlásenia pri aktualizácii nového certifikátu SP na IdP (ADFS).

Chyba: Neplatný stavový kód v odpovedi.

Kroky na preskúmanie:

Zachyťte sledovanie SAML a vyhľadajte odpoveď SAML:

Pridajte doplnok SAML Message Decoder do prehliadača:
Pre prehliadač Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
pre Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Otvorte doplnok a kliknite na Kopírovať túto správu.

Otvorte program Poznámkový blok ++ a nainštalujte Kliknite tu.
- Prilepte správu a vyhľadajte odpoveď SAML priamo v jazyku XML.

Skontrolujte, či sú atribúty prítomné v odpovedi SAML od IdP.
Ak nevidíte žiadne atribúty, znamená to, že Webex ich nedostáva od poskytovateľa identity. Preto je potrebné problém vyšetriť od strany IdP.
Ak chcete skontrolovať, či sa ADFS Webex spolieha na konfiguráciu strany, kliknite sem.
Keď konfigurácia vyzerá dobre, skontrolujte protokoly zobrazovača udalostí.
Skontrolujte chyby ADFS v denníkoch Windowsu:

V denníkoch systému Windows vyhľadajte kód chyby denníka udalostí ADFS 364. Podrobnosti o udalosti identifikujú neplatný certifikát. V týchto prípadoch nie je hostiteľovi ADFS povolené overenie certifikátu cez bránu firewall na porte 80.
Povoľte IdP prístup k portu 80 cez bránu firewall na internet, aby mohol vykonávať kontroly CRL.
- Ak je port otvorený, obráťte sa na spoločnosť Microsoft a jej bránu firewall.
- Ak port 80 nie je otvorený na bráne firewall alebo kontroly zoznamu CRL nefungujú, vypnite zoznam CRL.

Na serveri ADFS > kliknite na položku Zobrazovač udalostí > Aplikácie > Administrátor ADFS >> vyhľadajte protokol chýb v časovej pečiatke, v ktorej ste replikovali prihlásenie. Ak sa zobrazí nasledujúca chyba:

Chyba: "Vyskytla sa chyba počas pasívnej žiadosti federácie.

Ďalšie údaje
Názov protokolu: Saml
Spoliehajúca sa strana: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Podrobnosti o výnimke:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Šifrovací certifikát dôveryhodnosti spoliehajúcej sa strany "https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx" identifikovaný odtlačkom prsta "754B9208F1F75C5CC962750F3675C5D129471D80" nie je platný. Môže to znamenať, že certifikát bol odvolaný, jeho platnosť uplynula alebo že reťazec certifikátov nie je dôveryhodný.

na lokalite Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)

na adrese Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) na adrese Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) na adrese Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, boolean isKmsiRequested, boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
na adrese Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(kontext ProtocolContext)
na adrese Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Tu je uznesenie:

Otvorte PowerShell v ADFS ako správca a spustite príkaz:

Get-AdfsRelyingPartyTrust -identifikátor 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Poznámka:

Nezabudnite zadať identifikátor URL v úvodzovkách a identifikátor URL nájdete v chybovom hlásení, skopírujte ho a prilepte.
Riadiace centrum Webex for Government (FedRAMP) musí používať https://admin-usgov.webex.com/.

ALEBO

Otvorte PowerShell v ADFS ako správca a spustite príkaz:

Get-AdfsRelyingPartyTrust -Názov "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Poznámka: Nezabudnite zadať názov dôveryhodnosti odpovedajúcej strany rovnaký ako ten, ktorý zákazník vytvoril vo svojom ADFS a v dvojitých úvodzovkách.

Otestujte jediné prihlásenie v riadiacom centre na overenie.

Ďakujeme za vašu spätnú väzbu.

Zlyhanie prihlásenia SSO pri obnovovaní certifikátu SP prostredníctvom ADFS ako IDP.

Zlyhanie jediného prihlásenia pri aktualizácii nového certifikátu SP na IdP (ADFS).

Chyba: Neplatný stavový kód v odpovedi.

Malé podniky

Podnik

Zariadenia

Riešenia pre

Zdroje

Spoločnosť