Neuspešna prijava SSO pri podaljšanju potrdila SP prek ADFS kot IDP

Napaka pri prijavi SSO pri obnavljanju potrdila SP prek ADFS kot IDP.

Napaka enotne prijave pri posodabljanju novega potrdila SP pri ponudniku IDP (ADFS).

Napaka: Neveljavna koda stanja v odgovoru.

Koraki za preiskavo:

Zajemite sled SAML, da poiščete odziv SAML:

V brskalnik dodajte vtičnik SAML Message Decoder :
Za Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
za Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Odprite vtičnik in kliknite Kopiraj to sporočilo.

Odprite Notepad ++, za namestitev Kliknite tukaj.
- Prilepite sporočilo, da poiščete odgovor SAML neposredno v jeziku XML.

Preverite, ali so atributi prisotni v odgovoru SAML ponudnika za partnerja.
Če ne vidite nobenih atributov, to pomeni, da jih Webex ne prejema od IdP. Zato je treba vprašanje raziskati s strani IdP.
Če želite preveriti ADFS Webex, ki se zanaša na konfiguracijo stranke, kliknite tukaj.
Ko je konfiguracija videti v redu, preverite dnevnike pregledovalnika dogodkov.
Preverite, ali so v dnevnikih sistema Windows napake ADFS:

V dnevnikih sistema Windows poiščite kodo napake ADFS dnevnika dogodkov 364. Podrobnosti o dogodku identificirajo neveljavno potrdilo. V teh primerih gostitelj ADFS ne sme preveriti veljavnosti potrdila prek požarnega zidu na vratih 80.
Dovolite IDP dostop do vrat 80 prek požarnega zidu do interneta, da lahko izvaja preverjanje CRL.
- Če so vrata odprta, se obrnite na Microsoft in njegov požarni zid.
- Če vrata 80 niso odprta v požarnem zidu ali preverjanje seznama CRL ne deluje, onemogočite seznam CRL.

V strežniku ADFS > kliknite Pregledovalnik dogodkov > Aplikacije > ADFS > skrbnik > poiščite dnevnik napak ob časovnem žigu, v katerem ste ponovili prijavo. Če se prikaže ta napaka:

Napaka: "Med pasivno zahtevo federacije je prišlo do napake.

Dodatni podatki
Ime protokola: Saml
Zanašajoča se stranka: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Podrobnosti o izjemi:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Potrdilo o šifriranju zaupanja zanašajoče se stranke »https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx«, označeno s palčnim odtisom »754B9208F1F75C5CC962750F3675C5D129471D80«, ni veljavno. To lahko pomeni, da je bilo potrdilo preklicano, poteklo ali da veriga potrdil ni zaupanja vredna.

na spletnem mestu Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)

na spletnem mestu Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) na spletnem mestu Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) na spletnem mestu Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
na spletnem mestu Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(kontekst ProtocolContext)
na spletnem mestu Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Tukaj je resolucija:

Odprite Powershell v ADFS kot skrbnik in zaženite ukaz:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Opomba:

Prepričajte se, da ste URL identifikatorja vnesli v narekovajih, URL identifikatorja pa najdete v sporočilu o napaki, kopirajte in prilepite.
Nadzorno središče Webex for Government (FedRAMP) mora uporabljati https://admin-usgov.webex.com/.

ALI

Odprite Powershell v ADFS kot skrbnik in zaženite ukaz:

Get-AdfsRelyingPartyTrust -Ime "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Opomba: Ne pozabite vnesti imena zaupanja odgovorne stranke, enako kot tisto, ki ga je stranka ustvarila v svojem ADFS-u in v dvojnih narekovajih.

Preskusite enotno prijavo v nadzornem vozlišču za preverjanje.

Hvala za povratne informacije.

Napaka pri prijavi SSO pri obnavljanju potrdila SP prek ADFS kot IDP.

Napaka enotne prijave pri posodabljanju novega potrdila SP pri ponudniku IDP (ADFS).

Napaka: Neveljavna koda stanja v odgovoru.

Malo podjetje

Podjetje

Naprave

Rešitve za

Viri

Podjetje