Zlyhanie prihlásenia SSO pri obnove certifikátu SP prostredníctvom ADFS ako IDP

Zlyhanie prihlásenia SSO pri obnove certifikátu SP cez ADFS ako IDP.

Zlyhanie SSO pri aktualizácii nového certifikátu SP na IdP (ADFS).

Chyba: Neplatný stavový kód v odpovedi.

Kroky na vyšetrenie:

Zaznamenajte stopu SAML, aby ste našli odpoveď SAML:

Pridajte Dekodér správ SAML plugin do prehliadača:
Pre Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Pre Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Otvorte doplnok a kliknite na Skopírujte túto správu.

Ak chcete nainštalovať, otvorte program Poznámkový blok ++ Kliknite tu.
- Prilepením správy priamo nájdete odpoveď SAML v jazyku XML.

Skontrolujte, či sú atribúty prítomné v odpovedi SAML od poskytovateľa identity.
Ak nevidíte žiadne atribúty, znamená to, že ich Webex nedostáva od IdP. Preto je potrebné problém preskúmať od konca IdP.
Ak chcete skontrolovať ADFS Webex spoliehajúci sa na konfiguráciu strany, Kliknite tu.
Keď konfigurácia vyzerá dobre, skontrolujte denníky prehliadača udalostí.
Skontrolujte chyby ADFS v denníkoch systému Windows:

V denníkoch systému Windows vyhľadajte kód chyby 364 denníka udalostí ADFS. Podrobnosti udalosti identifikujú neplatný certifikát. V týchto prípadoch hostiteľ ADFS nemôže cez bránu firewall na porte 80 overiť certifikát.
Povoľte IdP prístup k portu 80 cez bránu firewall na internet, aby mohol vykonávať kontroly CRL.
- Ak je port otvorený, obráťte sa na spoločnosť Microsoft a jej bránu firewall.
- Ak port 80 nie je otvorený na bráne firewall alebo kontroly CRL nefungujú, zakážte CRL.

Na serveri ADFS > Kliknite na Prehliadač udalostí > Aplikácie > ADFS > Admin > vyhľadajte protokol chýb v čase, keď ste replikovali prihlásenie. Ak sa zobrazí nasledujúca chyba:

Chyba: "Vyskytla sa chyba počas pasívnej požiadavky federácie.

Ďalšie údaje
Názov protokolu: Saml
Spoliehajúca sa strana: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Podrobnosti o výnimke:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Šifrovací certifikát dôveryhodnej strany 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identifikovaný odtlačkom „754B9208F1F75C5CC962750F3675C5D129471D80“ nie je platný. Môže to znamenať, že certifikát bol odvolaný, vypršala jeho platnosť alebo že reťazec certifikátov nie je dôveryhodný.

na Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult výsledok)

na adrese Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(výsledok IAsyncResult) na adrese Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(requestSecurityToken request, IList1& identityClaimSet, List1 AdditionalClaims.STrustken) na Microsoft.IdentcurityToken. questSecurityToken žiadosť, zoznam 1 dodatočných nárokov)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlanspProviderent, Boistentrlp. Kontextový kontext, boolovská hodnota je KmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, StroxyRelyed, Boolean sapquireansiReProxy State, String& samlpAuthenticationProvider) na Microsoft.IdentityServer.Web.Protocols.Saml. SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnToken.S ml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(kontext SamlSignInContext, SecurityToken securityToken, SecurityToken deviceSecurityToken)
na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
na Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
na Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Tu je uznesenie:

OTVORENÉ Powershell na ADFS ako správca a spustite príkaz:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Poznámka:

Uistite sa, že ste adresu URL identifikátora zadali do úvodzoviek a adresu URL identifikátora nájdete v chybovom hlásení, skopírujte ju a prilepte.
Webex for Government (FedRAMP) Control Hub musí používať idbroker-f.webex.com namiesto idbroker.webex.com .

ALEBO

OTVORENÉ Powershell na ADFS ako správca a spustite príkaz:

Get-AdfsRelyingPartyTrust – názov „Cisco Webex“ | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Poznámka:Uistite sa, že ste zadali názov dôveryhodnej strany odpovedajúcej strany rovnaký ako názov jedného zákazníka, ktorý vytvoril vo svojom ADFS, a v dvojitých úvodzovkách.

Overte to otestovaním jednotného prihlásenia v riadiacom centre.