SSO vid förnyelse av SP-certifikatet via ADFS som IDP
SSO vid förnyelse av SP-certifikatet via ADFS som IDP.
SSO vid uppdatering av nytt SP-certifikat på IdP (ADFS).
Fel: Ogiltig statuskod i svaret.
Steg för att utreda:
- Hämta en SAML-spårning för att hitta SAML-svaret:
- Lägg till plugin SAML-meddelandeavkodaren i webbläsaren:
För Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
För Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Öppna plugin-programmet och klicka på Kopiera det härmeddelandet.
- Öppna Anteckningar++, för att installera Klicka här.
- Klistra in meddelandet för att hitta SAML-svaret på XML-språket direkt.
- Kontrollera om attributen finns i SAML-svaret från IDP.
- Om du inte ser några attribut innebär det att Webex inte tar emot dem från IdP. Därför måste problemet undersökas från IDP-slutet.
- Om du vill kontrollera ADFS Webex som förlitar sig på partikonfiguration Klicka här.
- När konfigurationen ser bra ut kontrollerar du händelsevisarloggar.
- Sök efter ADFS-fel i Windows-loggar:
- I Windows-loggarna söker du efter felkod 364 för ADFS-händelselogg. Händelseinformationen identifierar ett ogiltigt certifikat. I de här fallen har ine ADFS-värden behörighet genom brandväggen på port 80 för att validera certifikatet.
- Tillåt IDP-åtkomst till port 80 via en brandvägg till internet, så att den kan utföra CRL-kontroller.
- Om porten är öppen ska du följa upp med Microsoft och dess brandvägg.
- Om port 80 inte är öppen på brandväggen eller om CRL-kontrollerna inte fungerar ska du inaktivera CRL.
- På ADFS-servern > Klicka på Händelsevisaren >-program > ADFS > Admin > sök efter felloggen vid den tidpunkt då du kopierade inloggningen. Om du ser följande fel:
Fel: "Fel påträffades när begäran om sammanslutningsbegäran påträffades.
Ytterligare namn
på dataprotokoll: Saml
förlitar sig på parten: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Undantagsdetaljer:
på dataprotokoll: Saml
förlitar sig på parten: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Undantagsdetaljer:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Krypteringscertifikatet för den förlitande partens förtroende " som identifieras med tumavtryckhttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' "754B9208F1F75C5CC962750F3675C5D129471D80" är inte giltigt. Det kan indikera att certifikatet har återkallats, har upphört att gälla eller att certifikatkedjan inte är pålitlig.
på Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult resultat)
på Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext Context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerialToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
på Microsoft.IdentityServer.Web.Protocol.Saml.SamlProtocolHandler.Process(ProtocolContext context)
på Microsoft.IdentityServer.Web.EngrågeprotocolListener.ProcessProtocolRequest(ProtocolContext protocolContext,SekvensProtocolHandler protocolHandler) på
Microsoft.IdentityServer.Web.AktivaProtocolListener.OnGetContext(wrappedHttpListenerContext-kontexten)"
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext Context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerialToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
på Microsoft.IdentityServer.Web.Protocol.Saml.SamlProtocolHandler.Process(ProtocolContext context)
på Microsoft.IdentityServer.Web.EngrågeprotocolListener.ProcessProtocolRequest(ProtocolContext protocolContext,SekvensProtocolHandler protocolHandler) på
Microsoft.IdentityServer.Web.AktivaProtocolListener.OnGetContext(wrappedHttpListenerContext-kontexten)"
Här är resolutionen:
- Öppna Powershell på ADFS som administratör och kör kommandot:
Get-AdfsRelyingPartyTrust -Identifier https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Obs!
- Se till att du anger identifierare-URL i citat och att identifierare-URL kan hittas i felmeddelandet, kopiera och klistra in den.
- Webex for Government (FedRAMP) Control Hub måste använda idbroker-f.webex.com istället för idbroker.webex.com.
ELLER
- Öppna Powershell på ADFS som administratör och kör kommandot:
Få-AdfsFörlitandePart| -Namn "Cisco Webex" Set-AdfsFörlitande PartTrust -SigneringCertificateRevocationCheck No -EncryptionCertificateRevocationCheck No
Obs:Se till att ange namnet på den svarande partens förtroende på samma sätt som den enda kund som skapats på sin ADFS och i dubbla citat.
- Testa SSO i Control Hub för att verifiera.
Var den här artikeln användbar?