SSO vid förnyelse av SP-certifikatet via ADFS som IDP
Har du feedback?
SSO-inloggningsfel vid förnyelse av SP-certifikatet via ADFS som IDP.
SSO-fel vid uppdatering av nytt SP-certifikat på IdP (ADFS).
Fel: Ogiltig statuskod i svaret.
Steg för att undersöka:
- Spela in en SAML-spårning för att hitta SAML-svaret:
- Lägg till plugin-programmet SAML-meddelandeavkodare i webbläsaren:
För Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
För Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Öppna plugin-programmet och klicka på Kopiera detta meddelande.
- Öppna Notepad++, installera Klicka här.
- Klistra in meddelandet för att hitta SAML-svaret direkt på XML-språk.
- Kontrollera om attributen finns i SAML-svaret från IdP.
- Om du inte ser några attribut innebär det att Webex inte tar emot dem från IdP. Därför måste problemet undersökas från IdP-slutet.
- Klicka här för att kontrollera ADFS Webex beroende av partskonfiguration.
- När konfigurationen ser bra ut kontrollerar du loggarna för händelsevisaren.
- Kontrollera om det finns ADFS-fel i Windows-loggarna:
- I Windows-loggarna letar du efter felkod 364 för ADFS-händelseloggen. Händelseinformationen identifierar ett ogiltigt certifikat. I dessa fall tillåts inte ADFS-värden via brandväggen på port 80 för att validera certifikatet.
- Tillåt IdP-åtkomst till port 80 via en brandvägg till internet så att den kan utföra CRL-kontroller.
- Om porten är öppen ska du följa upp med Microsoft och dess brandvägg.
- Om port 80 inte är öppen i brandväggen eller om CRL-kontroller inte fungerar ska du inaktivera CRL.
- På ADFS-servern > Klicka på Händelsevisare > Program > ADFS > Admin > sök efter felloggen vid den tidsstämpel som du kopierade inloggningen. Om du ser följande fel:
Fel: "Ett fel påträffades vid begäran om passiv federation.
Ytterligare data
Protokollnamn: Saml (olika betydelser)
Förlitande part: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Information om undantag:
Protokollnamn: Saml (olika betydelser)
Förlitande part: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Information om undantag:
Microsoft.IdentityServer.Service.SecurityTokenService.ÅterkallelseValideringUndantag: msis3014: Krypteringscertifikatet för den förlitande partens förtroende ”https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx” som identifieras med miniatyrutskrift ”754B9208F1F75C5CC962750F3675C5D129471D80” är inte giltigt. Det kan indikera att certifikatet har återkallats, har gått ut eller att certifikatkedjan inte är betrodd.
på Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult resultat)
på Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult-resultat) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Problem(RequestSecurityToken-begäran, IList1& identityClaimSet, List1 additionalClaims) på Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Problem(RequestSecurityToken-begäran, List1 additionalClaims)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement på uppdrag av, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement på uppdrag av, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKm
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
på Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
på Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement på uppdrag av, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement på uppdrag av, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKm
på Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
på Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
på Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Här är upplösningen:
- Öppna Powershell på ADFS som administratör och kör kommandot:
Get-AdfsRelyingPartyTrust -Identifierare ”https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx” | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Obs!
- Se till att ange identifierarens URL i citationstecken så att identifierarens URL finns i felmeddelandet. Kopiera och klistra in den.
- Webex för myndigheter (FedRAMP) Control Hub måste använda https://admin-usgov.webex.com/.
eller
- Öppna Powershell på ADFS som administratör och kör kommandot:
Get-AdfsRelyingPartyTrust -Namn "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Obs! Se till att ange namnet på den svarande parten som har skapats på hans ADFS och i dubbla citattecken.
- Testa SSO i Control Hub för att verifiera.
Var den här artikeln användbar?