Napaka pri prijavi SSO pri obnovitvi potrdila SP prek ADFS kot IDP
Napaka pri prijavi v SSO pri obnavljanju potrdila SP prek ADFS kot IDP.
Napaka SSO pri posodabljanju novega potrdila SP na IdP (ADFS).
Napaka: Neveljavna statusna koda v odgovoru.
Koraki za preiskavo:
- Zajemite sled SAML, da poiščete odgovor SAML:
- Dodajte Dekodirnik sporočil SAML vtičnik za brskalnik:
Za Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Za Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Odprite vtičnik in kliknite Kopirajte to sporočilo.
- Za namestitev odprite Notepad++ Klikni tukaj.
- Prilepite sporočilo, da neposredno poiščete odgovor SAML v jeziku XML.
- Preverite, ali so atributi prisotni v odgovoru SAML od IdP.
- Če ne vidite nobenih atributov, to pomeni, da jih Webex ne prejema od IdP. Zato je treba zadevo raziskati od konca IdP.
- Če želite preveriti ADFS Webex glede na konfiguracijo stranke, Klikni tukaj.
- Ko je konfiguracija videti v redu, preverite dnevnike pregledovalnika dogodkov.
- Preverite napake ADFS v dnevnikih sistema Windows:
- V dnevnikih sistema Windows poiščite kodo napake dnevnika dogodkov ADFS 364. Podrobnosti dogodka identificirajo neveljavno potrdilo. V teh primerih gostitelju ADFS prek požarnega zidu na vratih 80 ni dovoljeno preverjanje potrdila.
- Dovolite dostop IdP do vrat 80 prek požarnega zidu do interneta, da lahko izvaja preverjanja CRL.
- Če so vrata odprta, se obrnite na Microsoft in njegov požarni zid.
- Če vrata 80 na požarnem zidu niso odprta ali preverjanje CRL ne deluje, onemogočite CRL.
- Na strežniku ADFS > Kliknite na Pregledovalnik dogodkov > Aplikacije > ADFS > skrbnik > poiščite dnevnik napak pri časovnem žigu, v katerem ste ponovili prijavo. Če vidite to napako:
Napaka: »Napaka med pasivno zvezno zahtevo.
Dodatni podatki
Ime protokola: Saml
Zanašajoča se stranka: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Podrobnosti o izjemah:
Ime protokola: Saml
Zanašajoča se stranka: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Podrobnosti o izjemah:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Potrdilo o šifriranju zaupanja zanašajoče se strankehttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' označen z odtisom palca '754B9208F1F75C5CC962750F3675C5D129471D80' ni veljaven. To lahko pomeni, da je bilo potrdilo preklicano, da je poteklo ali da veriga potrdil ni vredna zaupanja.
na Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult rezultat)
na Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult rezultat) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 AdditionalClaims) na Microsoft.IdentityServer.Web.WSTrust.Security TokenServiceManager.Issue(RequestSecurityToken zahteva, seznam1 dodatnih zahtevkov)
na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHtt pListenerContext context, Boolean isKmsiRequested)
na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String & samlpSessionState, String& samlpAuthenticationProvider) na Microsoft.IdentityServer.Web.Protocols.Saml. SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web. Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
na Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
na Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(kontekst WrappedHttpListenerContext)"
na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHtt pListenerContext context, Boolean isKmsiRequested)
na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String & samlpSessionState, String& samlpAuthenticationProvider) na Microsoft.IdentityServer.Web.Protocols.Saml. SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web. Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
na Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
na Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(kontekst WrappedHttpListenerContext)"
Tukaj je resolucija:
- Odprto Powershell na ADFS kot skrbnik in zaženite ukaz:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Opomba:
- Ne pozabite vnesti URL identifikatorja v narekovajih in URL identifikatorja najdete v sporočilu o napaki, kopirajte in prilepite.
- Nadzorno središče Webex for Government (FedRAMP) mora uporabljati https://admin-usgov.webex.com/.
ALI
- Odprto Powershell na ADFS kot skrbnik in zaženite ukaz:
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Opomba: Prepričajte se, da ste vnesli ime zaupanja stranke, ki odgovarja, enako kot ena stranka, ustvarjena na svojem ADFS, in v dvojnih narekovajih.
- Za preverjanje preizkusite enotno prijavo na nadzornem središču.
Ali je bil ta članek koristen?