Napaka pri prijavi SSO pri obnovitvi potrdila SP prek ADFS kot IDP

Napaka pri prijavi v SSO pri obnavljanju potrdila SP prek ADFS kot IDP.

Napaka SSO pri posodabljanju novega potrdila SP na IdP (ADFS).

Napaka: Neveljavna statusna koda v odgovoru.

Koraki za preiskavo:

Zajemite sled SAML, da poiščete odgovor SAML:

Dodajte Dekodirnik sporočil SAML vtičnik za brskalnik:
Za Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Za Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Odprite vtičnik in kliknite Kopirajte to sporočilo.

Za namestitev odprite Notepad++ Klikni tukaj.
- Prilepite sporočilo, da neposredno poiščete odgovor SAML v jeziku XML.

Preverite, ali so atributi prisotni v odgovoru SAML od IdP.
Če ne vidite nobenih atributov, to pomeni, da jih Webex ne prejema od IdP. Zato je treba zadevo raziskati od konca IdP.
Če želite preveriti ADFS Webex glede na konfiguracijo stranke, Klikni tukaj.
Ko je konfiguracija videti v redu, preverite dnevnike pregledovalnika dogodkov.
Preverite napake ADFS v dnevnikih sistema Windows:

V dnevnikih sistema Windows poiščite kodo napake dnevnika dogodkov ADFS 364. Podrobnosti dogodka identificirajo neveljavno potrdilo. V teh primerih gostitelju ADFS prek požarnega zidu na vratih 80 ni dovoljeno preverjanje potrdila.
Dovolite dostop IdP do vrat 80 prek požarnega zidu do interneta, da lahko izvaja preverjanja CRL.
- Če so vrata odprta, se obrnite na Microsoft in njegov požarni zid.
- Če vrata 80 na požarnem zidu niso odprta ali preverjanje CRL ne deluje, onemogočite CRL.

Na strežniku ADFS > Kliknite na Pregledovalnik dogodkov > Aplikacije > ADFS > skrbnik > poiščite dnevnik napak pri časovnem žigu, v katerem ste ponovili prijavo. Če vidite to napako:

Napaka: »Napaka med pasivno zvezno zahtevo.

Dodatni podatki
Ime protokola: Saml
Zanašajoča se stranka: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Podrobnosti o izjemah:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Potrdilo o šifriranju zaupanja zanašajoče se strankehttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' označen z odtisom palca '754B9208F1F75C5CC962750F3675C5D129471D80' ni veljaven. To lahko pomeni, da je bilo potrdilo preklicano, da je poteklo ali da veriga potrdil ni vredna zaupanja.

na Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult rezultat)

na Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult rezultat) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 AdditionalClaims) na Microsoft.IdentityServer.Web.WSTrust.SecurityTo kenServiceManager.Issue(RequestSecurityToken zahteva, seznam1 dodatnih zahtevkov)
na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttp Kontekst ListenerContext, Boolean isKmsiRequested)
na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider) na Microsoft.IdentityServer.Web.Protocols.Saml. SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Pro tocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
na Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
na Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(kontekst WrappedHttpListenerContext)"

Tukaj je resolucija:

Odprto Powershell na ADFS kot skrbnik in zaženite ukaz:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Opomba:

Ne pozabite vnesti URL identifikatorja v narekovajih in URL identifikatorja najdete v sporočilu o napaki, kopirajte in prilepite.
Nadzorno središče Webex for Government (FedRAMP) mora uporabljati idbroker-f.webex.com namesto idbroker.webex.com .

ALI

Odprto Powershell na ADFS kot skrbnik in zaženite ukaz:

Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Opomba: Prepričajte se, da ste vnesli ime zaupanja stranke, ki odgovarja, enako kot ena stranka, ustvarjena na svojem ADFS, in v dvojnih narekovajih.

Za preverjanje preizkusite enotno prijavo na nadzornem središču.