SSO prijavljivanje nije uspelo prilikom obnavljanja SP sertifikata preko ADFS-a kao IDP-a

Otkazivanje SSO prijavljivanja prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a.

Otkazivanje SSO prilikom ažuriranja novog SP certifikata na IdP (ADFS).

Greška: Nevažeći kôd statusa u odgovoru.

Koraci za istraživanje:

Snimite SAML trag da biste pronašli SAML odgovor:

Dodajte DODATNU KOMPONENTU ZA SAML poruku u pregledač:
Za Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Za Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Otvorite dodatnu komponentu i kliknite na dugme Kopiraj ovu poruku.

Otvorite Notepad++ da biste instalirali Kliknite ovde.
- Nalepite poruku da biste direktno pronašli SAML odgovor na XML jeziku.

Proverite da li su atributi prisutni u SAML odgovoru od IdP-a.
Ako ne vidite atribute, to znači da ih Webex ne prima od IDP-a. Zbog toga problem treba da se istraži sa IdP kraja.
Da biste proverili ADFS Webex koji se oslanja na konfiguraciju stranke, kliknite ovde.
Kada konfiguracija izgleda u redu, proverite evidencije prikazivača događaja.
Proverite da li postoje ADFS greške u Windows evidencijama:

U Windows evidencijama potražite Kôd greške evidencije događaja ADFS 364. Detalji događaja identifikuju nevažeći certifikat. U tim slučajevima, ADFS domaćinu nije dozvoljeno da prođe kroz zaštitni zid na portu 80 da bi proverio valjanost certifikata.
Dozvolite IdP-u pristup portu 80 preko zaštitnog zida na internetu, tako da može da izvrši CRL provere.
- Ako je port otvoren, pratite Microsoft i njegov zaštitni zid.
- Ako port 80 nije otvoren na zaštitnom zidu ili CRL provera ne radi, onda onemogućite CRL.

Na ADFS serveru > Kliknite na lokaciju "Prikazivač događaja> aplikacije > ADFS > Administrator > potražite evidenciju grešaka na vremenskoj oznaki koju ste kopirali prilikom prijavljivanja. Ako vidite sledeću grešku:

Greška: „Došlo je do greške tokom pasivnog zahteva za povezivanje u savez.

Ime dodatnog protokola
podataka: Saml
Relying Party: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalji o izuzetku:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Potvrda o šifrovanju poverenja oslanjanja na stranku 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identifikovana otiskom palca '754B9208F1F75C5CC962750F3675C5D129471D80' nije važeća. To može ukazivati na to da je certifikat opozvan, da je istekao ili da lanac certifikata nije pouzdan.

u microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult rezultat)

na Microsoft.IdentityModel.Razgovor.TypedAsyncResult1.Završetak(IAsyncResult) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Problem (RequestSecurityTokenServiceManager, Problem(RequestSecurityToken, IList1& identityClaimSet, List1 additionalClaims) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Problem(RequestSecurityToken, List1 additionalClaims)na adresi Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Problem(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement inBehalfOf, StringState, String& newSamlSession, String & samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext, Boolean isKmsiRequested)na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(UpakovanoHttpListenerContext, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement inBehalfOf, String relyingPartyIdentifier, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)naMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, UpakovanoHttpListenerContext, UpakovanoPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isApplicationProxyTokenRequired) na usluzi Microsoft.IdentityServer.Web.Protocols.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext, SecurityTokenToken, SecurityTokenSecurityToken)na adresi Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)na adresi Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContextContext, PassiveProtocolHandler)na adresi Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext)"

Evo rešenja:

Otvorite Powershell na ADFS-u kao administrator i pokrenite komandu:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust-SigningCertificateRevocationCheck None -ŠifrovanjeCertificateRevocationCheck None

Napomena:

Obavezno unesite URL adresu identifikatora u navodnike i URL adresa identifikatora se može pronaći u poruci o grešci, kopirati je i nalepiti.
Control Hub mora da koristi Webex for Government (FedRAMP) https://admin-usgov.webex.com/.

ILI

Otvorite Powershell na ADFS-u kao administrator i pokrenite komandu:

Get-AdfsRelyingPartyTrust -Ime „Cisco Webex“ | Set-AdfsRelyingPartyTrust-SigningCertificateRevocationCheck None -ŠifrovanjeCertificateRevocationCheck None

Napomena:Obavezno unesite ime pouzdanosti stranke koja odgovara isti kao onaj kupac koji je kreirao na svom ADFS-u i u dvostrukim navodima.

Testirajte SSO na kontrolnom čvorištu da biste proverili.

Hvala na povratnim informacijama.

Otkazivanje SSO prijavljivanja prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a.

Otkazivanje SSO prilikom ažuriranja novog SP certifikata na IdP (ADFS).

Greška: Nevažeći kôd statusa u odgovoru.

Mala preduzeća

Velika preduzeća

Uređaji

Rešenja za

Resursi

Kompanija