SSO prijavljivanje nije uspelo prilikom obnavljanja SP sertifikata preko ADFS-a kao IDP-a
Otkazivanje SSO prijavljivanja prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a.
Otkazivanje SSO prilikom ažuriranja novog SP certifikata na IdP (ADFS).
Greška: nevažeći statusni kôd kao odgovor.
Koraci za istraživanje:
- Snimite SAML praćenje da biste pronašli SAML odgovor:
- Dodajte SAML za dekoder poruka u pregledač:
Za Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Za Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Otvorite dodatnu komponentu i kliknite na dugme Kopiraj ovu poruku.
- Otvorite Notepad++, da biste instalirali Kliknite ovde.
- Nalepite poruku da biste direktno pronašli SAML odgovor na XML jeziku.
- Proverite da li su atributi prisutni u SAML od IdP-a.
- Ako ne vidite atribute, to znači da ih Webex ne prima od IDP-a. Stoga to pitanje treba istražiti sa kraja IDP-a.
- Da biste proverili konfiguraciju usluge ADFS Webex oslanjanje na stranku, kliknite ovde.
- Kada konfiguracija izgleda dobro, proverite evidencije prikazivača događaja.
- Proverite da li postoje ADFS greške u Windows evidencijama:
- U Windows evidencijama potražite Kôd greške evidencije događaja ADFS 364. Detalji događaja identifikuju nevažeći certifikat. U tim slučajevima, ADFS domaćinu nije dozvoljeno da prođe kroz zaštitni zid na portu 80 da bi proverio valjanost certifikata.
- Dozvolite pružaocima usluge identiteta pristup portu 80 kroz zaštitni zid ka internetu kako bi on mogli da izvrši CRL provere.
- Ako je port otvoren, pratite Microsoft i njegov zaštitni zid.
- Ako port 80 nije otvoren na zaštitnom zidu ili CRL provera ne radi, onda onemogućiTE CRL.
- Na ADFS serveru > Kliknite na lokaciju "Prikazivač događaja> aplikacije > ADFS > Administrator > potražite evidenciju grešaka na vremenskoj oznaki koju ste kopirali prilikom prijavljivanja. Ako vidite sledeću grešku:
Greška: "Naišla je na grešku tokom pasivnog zahteva Federacije.
Dodatno ime
protokola podataka: Saml
Relying Party: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalji o izuzetku:
protokola podataka: Saml
Relying Party: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalji o izuzetku:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Potvrda o šifrovanju poverenja oslanjanja na stranku 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identifikovana otiskom palca '754B9208F1F75C5CC962750F3675C5D129471D80' nije važeća. To može ukazivati na to da je certifikat opozvan, da je istekao ili da lanac certifikata nije pouzdan.
u microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult rezultat)
at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.SamlProtocolHandler.BuildSignInResponseCoreWithSerial HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext kontekst, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.SamlProtocolHandler.BuildSignInResponseCoreWithSerial HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext kontekst, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext
Evo rezolucije:
- Otvorite Powershell na ADFS-u kao administrator i pokrenite komandu:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Napomena:
- Obavezno unesite identifikator URL u navodnike i URL identifikator možete da pronađete u poruka o grešci, kopirate ga i nalepite.
- Webex for Government (FedRAMP) Control Hub mora da koristihttps://admin-usgov.webex.com/ .
ILI
- Otvorite Powershell na ADFS-u kao administrator i pokrenite komandu:
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck Nema -EncryptionCertificateRevocationCheck Nema
Namena: Uverite se da ste uneli ime pouzdanosti stranke koja odgovara isto kao i klijent kreiran na njegovom ADFS-u i u dvostrukim ponudama.
- Testirajte SSO na kontrolnom čvorištu da biste proverili.
Da li je ovaj članak bio koristan?