Da li je ovaj članak bio koristan?
Hvala na povratnim informacijama.
SSO prijavljivanje nije uspelo prilikom obnavljanja SP sertifikata preko ADFS-a kao IDP-a
Povratne informacije?Otkazivanje SSO prijavljivanja prilikom obnavljanja SP certifikata putem ADFS-a kao IDP-a.
Otkazivanje SSO prilikom ažuriranja novog SP certifikata na IdP (ADFS).
Greška: Nevažeći kôd statusa u odgovoru.
Koraci za istraživanje:
- Snimite SAML trag da biste pronašli SAML odgovor:
- Dodajte DODATNU KOMPONENTU ZA SAML poruku u pregledač:
Za Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Za Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Otvorite dodatnu komponentu i kliknite na dugme Kopiraj ovu poruku.
- Otvorite Notepad++ da biste instalirali Kliknite ovde.
- Nalepite poruku da biste direktno pronašli SAML odgovor na XML jeziku.
- Proverite da li su atributi prisutni u SAML odgovoru od IdP-a.
- Ako ne vidite atribute, to znači da ih Webex ne prima od IDP-a. Zbog toga problem treba da se istraži sa IdP kraja.
- Da biste proverili ADFS Webex koji se oslanja na konfiguraciju stranke, kliknite ovde.
- Kada konfiguracija izgleda u redu, proverite evidencije prikazivača događaja.
- Proverite da li postoje ADFS greške u Windows evidencijama:
- U Windows evidencijama potražite Kôd greške evidencije događaja ADFS 364. Detalji događaja identifikuju nevažeći certifikat. U tim slučajevima, ADFS domaćinu nije dozvoljeno da prođe kroz zaštitni zid na portu 80 da bi proverio valjanost certifikata.
- Dozvolite IdP-u pristup portu 80 preko zaštitnog zida na internetu, tako da može da izvrši CRL provere.
- Ako je port otvoren, pratite Microsoft i njegov zaštitni zid.
- Ako port 80 nije otvoren na zaštitnom zidu ili CRL provera ne radi, onda onemogućite CRL.
- Na ADFS serveru > Kliknite na lokaciju "Prikazivač događaja> aplikacije > ADFS > Administrator > potražite evidenciju grešaka na vremenskoj oznaki koju ste kopirali prilikom prijavljivanja. Ako vidite sledeću grešku:
Greška: „Došlo je do greške tokom pasivnog zahteva za povezivanje u savez.
Ime dodatnog protokola
podataka: Saml
Relying Party: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalji o izuzetku:
podataka: Saml
Relying Party: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalji o izuzetku:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Potvrda o šifrovanju poverenja oslanjanja na stranku 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identifikovana otiskom palca '754B9208F1F75C5CC962750F3675C5D129471D80' nije važeća. To može ukazivati na to da je certifikat opozvan, da je istekao ili da lanac certifikata nije pouzdan.
u microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult rezultat)
na Microsoft.IdentityModel.Razgovor.TypedAsyncResult1.Završetak(IAsyncResult) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Problem (RequestSecurityTokenServiceManager, Problem(RequestSecurityToken, IList1& identityClaimSet, List1 additionalClaims) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Problem(RequestSecurityToken, List1 additionalClaims)na adresi Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Problem(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement inBehalfOf, StringState, String& newSamlSession, String & samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext, Boolean isKmsiRequested)na Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(UpakovanoHttpListenerContext, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement inBehalfOf, String relyingPartyIdentifier, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)naMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, UpakovanoHttpListenerContext, UpakovanoPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isApplicationProxyTokenRequired) na usluzi Microsoft.IdentityServer.Web.Protocols.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext, SecurityTokenToken, SecurityTokenSecurityToken)na adresi Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)na adresi Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContextContext, PassiveProtocolHandler)na adresi Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext)"
Evo rešenja:
- Otvorite Powershell na ADFS-u kao administrator i pokrenite komandu:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust-SigningCertificateRevocationCheck None -ŠifrovanjeCertificateRevocationCheck None
Napomena:
- Obavezno unesite URL adresu identifikatora u navodnike i URL adresa identifikatora se može pronaći u poruci o grešci, kopirati je i nalepiti.
- Control Hub mora da koristi Webex for Government (FedRAMP) https://admin-usgov.webex.com/.
ILI
- Otvorite Powershell na ADFS-u kao administrator i pokrenite komandu:
Get-AdfsRelyingPartyTrust -Ime „Cisco Webex“ | Set-AdfsRelyingPartyTrust-SigningCertificateRevocationCheck None -ŠifrovanjeCertificateRevocationCheck None
Napomena:Obavezno unesite ime pouzdanosti stranke koja odgovara isti kao onaj kupac koji je kreirao na svom ADFS-u i u dvostrukim navodima.
- Testirajte SSO na kontrolnom čvorištu da biste proverili.
Da li je ovaj članak bio koristan?
