SSO prijavljivanje nije uspelo prilikom obnavljanja SP sertifikata preko ADFS-a kao IDP-a

SSO prijavljivanje nije uspelo prilikom obnavljanja SP sertifikata preko ADFS-a kao IDP-a.

SSO nije uspeo prilikom ažuriranja novog SP sertifikata za IdP (ADFS).

Greška: Nevažeći kôd statusa u odgovoru.

Koraci za istraživanje:

Snimite SAML trag da biste pronašli SAML odgovor:

Dodajte DODATNU KOMPONENTU ZA SAML poruku u pregledač:
Za Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Za Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Otvorite dodatnu komponentu i kliknite na Kopiraj ovu poruku.

Otvorite Notepad++ da biste instalirali Kliknite ovde.
- Nalepite poruku da biste direktno pronašli SAML odgovor na XML jeziku.

Proverite da li su atributi prisutni u SAML odgovoru od IdP-a.
Ako ne vidite nikakve atribute, to znači da ih Webex ne prima od pružaoca usluge identiteta. Zbog toga problem treba da se istraži sa IdP kraja.
Da biste proverili ADFS Webex koji se oslanja na konfiguraciju stranke, kliknite ovde.
Kada konfiguracija izgleda u redu, proverite evidencije prikazivača događaja.
Proveri da li postoje ADFS greške u evidencijama operativnog sistema Windows:

U Windows evidencijama potražite ADFS kôd greške evidencije događaja 364. Detalji događaja identifikuju nevažeći certifikat. U tim slučajevima, ADFS domaćinu nije dozvoljeno da prođe kroz zaštitni zid na portu 80 da bi proverio valjanost certifikata.
Dozvolite IdP-u pristup portu 80 preko zaštitnog zida na internetu, tako da može da izvrši CRL provere.
- Ako je port otvoren, pratite Microsoft i njegov zaštitni zid.
- Ako port 80 nije otvoren na zaštitnom zidu ili CRL provera ne radi, onda onemogućite CRL.

Na ADFS serveru > Kliknite na Prikazivač događaja > Aplikacije > ADFS > Administrator > pretraži evidenciju greške na tačnom pečatu kada ste ponovili prijavljivanje. Ako vidite sledeću grešku:

Greška: „Došlo je do greške tokom pasivnog zahteva za povezivanje u savez.

Dodatni podaci
Ime protokola: Кућа
Stranka Oslanjanja: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Detalji o izuzetku:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationIzuzetak: msis3014: Potvrda o šifrovanju poverenja oslanjanja na stranku 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' identifikovana otiskom palca '754B9208F1F75C5CC962750F3675C5D129471D80' nije važeća. To može ukazivati na to da je certifikat opozvan, da je istekao ili da lanac certifikata nije pouzdan.

u Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult)

na Microsoft.IdentityModel.Razgovor.TypedAsyncResult1.Završetak(IAsyncResult) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Problem (RequestSecurityTokenServiceManager, Problem(RequestSecurityToken, IList1& identityClaimSet, List1 additionalClaims) na Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Problem(RequestSecurityToken, List1 additionalClaims)
na adresi Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Problem(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement inBehalfOf, StringState, String& newSamlSession, String & samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext, Boolean isKmsiRequested)
na adresi Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(UpakovanoHttpListenerContext, HttpSamlRequest, SecurityTokenElement inBehalfOf, StringRelyingPartyIdentifier, Boolean isApplicationProxyTokenRequired, Boolean isApplicationProxyTokenRequired, Boolean isApplicationProxyTokenRequired, Boolean isApplicationProxyTokenRequired, Boolean isApplicationProxyTokenRequired) na Microsoft.IdentityServer.Web.Protocols.HttpSamlProtocolHandler.BuildSignInContextServer.Web.Protocols.SamlProtocolHandler.BuildSignInContextSecurityToken(SamlSignInContext, SecurityToken
na adresi Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
na adresi Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContextContext, PassiveProtocolHandler)
na adresi Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext)"

Evo rešenja:

Otvorite Powershell na ADFS-u kao administratoru i pokrenite komandu:

Get-AdfsRelyingPartyTrust -Identifikator 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxx' | Set-AdfsRelyingPartyTrust-SigningCertificateRevocationCheck None -ŠifrovanjeCertificateRevocationCheck None

Napomena:

Obavezno unesite URL adresu identifikatora u navodnike i URL adresa identifikatora se može pronaći u poruci o grešci, kopirati je i nalepiti.
Control Hub za Webex for Government (FedRAMP) mora da koristi https://admin-usgov.webex.com/.

Вијести

Otvorite Powershell na ADFS-u kao administratoru i pokrenite komandu:

Get-AdfsRelyingPartyTrust -Ime „Cisco Webex“ | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -ŠifrovanjeCertificateRevocationCheck None

Napomena:Obavezno unesite ime pouzdanosti stranke koja odgovara isti kao onaj kupac koji je kreirao na svom ADFS-u i u dvostrukim navodima.

Testirajte SSO na kontrolnom čvorištu da biste potvrdili.

Hvala na povratnim informacijama.