SSO prijavljivanje nije uspelo prilikom obnavljanja SP sertifikata preko ADFS-a kao IDP-a

Otkazivanje SSO prijavljivanja prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a.

Otkazivanje SSO prilikom ažuriranja novog SP certifikata na IdP (ADFS).

Greška: nevažeći statusni kôd kao odgovor.

Koraci za istraživanje:

  1. Hvatanje SAML praćenja da biste pronašli SAML odgovor
Slika koju je dodao korisnik
  • Otvorite Notepad++, da biste instalirali Kliknite ovde
    • Nalepite poruku da biste direktno pronašli SAML odgovor na XML jeziku.
  1. Proverite da li su atributi prisutni u SAML odgovoru iz IdP-a
  2. Ako ne vidite atribute, to znači da ih Webex ne prima od IDP-a. Stoga to pitanje treba istražiti sa kraja IDP-a
  3. Proverite konfiguraciju ADFS Webex stranke koja se oslanja Kliknite ovde
  4. Kada konfiguracija izgleda dobro, proverite evidencije prikazivača događaja
  5. Proverite da li postoje ADFS greške u Windows evidencijama:
  • U Windows evidencijama potražite Kôd greške evidencije događaja ADFS 364. Detalji događaja identifikuju nevažeći certifikat. U tim slučajevima, ADFS domaćinu nije dozvoljeno da prođe kroz zaštitni zid na portu 80 da bi proverio valjanost certifikata.
  • Dozvolite IdP pristup portu 80 kroz zaštitni zid ka Internetu kako bi mogao da izvrši CRL provere.
    • Ako je port otvoren, pratite Microsoft i njegov zaštitni zid.
    • Ako port 80 nije otvoren na zaštitnom zidu ili CRL provera ne radi onda onemogući CRL
  1. Na ADFS serveru > Kliknite na lokaciju "Prikazivač događaja> aplikacije >ADFS > Administrator > potražite evidenciju grešaka na vremenskoj oznaki koju ste kopirali prilikom prijavljivanja. Ako vidite sledeću grešku:
Greška: "Naišla je na grešku tokom pasivnog zahteva Federacije.
Dodatno ime
protokola podataka: Saml
Relying Party: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalji o izuzetku:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Potvrda o šifrovanju poverenja oslanjanja na stranku 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identifikovana otiskom palca '754B9208F1F75C5CC962750F3675C5D129471D80' nije važeća. To može ukazivati na to da je certifikat opozvan, da je istekao ili da lanac certifikata nije pouzdan.
u microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult rezultat)
at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.SamlProtocolHandler.BuildSignInResponseCoreWithSerial HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext kontekst, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext

Evo rezolucije:
  • Otvorite Powershell na ADFS-u kao administrator i pokrenite komandu:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Napomena: Obavezno unesite URL adresu identifikatora u navodnike i URL adresa identifikatora se može pronaći u poruci o grešci, kopirati je i nalepiti
 
ILI
  • Otvorite Powershell na ADFS-u kao administrator i pokrenite komandu,
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None
 
Napomena: Uverite se da ste uneli ime pouzdanosti stranke koja odgovara isto kao i onaj klijent kreiran na njegovom ADFS-u i u dvostrukim ponudama.
  • Testirajte SSO na kontrolnom čvorištu da biste proverili.

Da li je ovaj članak bio koristan?