Bu makale yararlı oldu mu?
Geri bildiriminiz için teşekkürler.
SSO ADFS ile IDP olarak SP Sertifikası Yenilerken Oturum Açma Hatası
Geri Bildirim?SSO ADFS ile IDP olarak yenilerken oturum açma hatası.
SSO IdP 'de (ADFS) yeni SP sertifikası güncellerken hatayla ilgili hata.
Hata: Yanıtta geçersiz durum kodu.
Araştırmak için adımlar:
- SAML yanıtını bulmak için bir SAML izlemesi yakalayın:
- SAML Mesaj Kod Çözücü eklentisini tarayıcıya ekleyin:
Chrome için: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Firefox için: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Eklentiyi açın ve Bu mesajı kopyala 'yatıklayın.
- Notepad++'ı açın, yüklemek için Buraya tıklayın.
- SAML yanıtını DOĞRUDAN XML dilinde bulmak için mesajı yapıştırın.
- Özniteliklerin IdP'den gelen SAML yanıtında olup olmadığını kontrol edin.
- Hiçbir öznitelik görmüyorsanız bu, öznitelikleri IdP'Webex bir kullanıcı olmadığınız anlamına gelir. Bu nedenle, sorunun IdP tarafından araştırılması gerekir.
- Taraf yapılandırmasına bağlı olarak ADFS Webex’i kontrol etmek için buraya tıklayın.
- Yapılandırma iyi göründüğünde etkinlik görüntüleyici günlüklerini kontrol edin.
- Windows günlüklerinde ADFS hatalarını kontrol edin:
- Windows günlüklerinde ADFS olay günlüğü hata kodu 364'ü bakın. Olay ayrıntıları geçersiz bir sertifikayı tanımlar. Bu tür durumlarda ADFS ana bilgisayarının sertifikayı doğrulaması için 80 numaralı bağlantı noktasındaki güvenlik duvarını geçmesine izin verilmez.
- IdP'nin CRL kontrollerini gerçekleştirebilmesi için internete bir güvenlik duvarı üzerinden bağlantı noktası 80'e erişmesine izin verin.
- Bağlantı noktası açıksa Microsoft ve güvenlik duvarıyla devam edin.
- Güvenlik duvarında bağlantı noktası 80 açık değilse veya CRL kontrolleri çalışmıyorsa CRL'yi devre dışı bırakın.
- ADFS sunucusunda > tıklayın Etkinlik Görüntüleyici > Uygulamalar > ADFS > Yönetici > oturum açmanın kopyalı zamanında hata günlüğünü aramanızı sağlar. Aşağıdaki hatayı görüyorsanız:
Hata: "Federasyon isteği sırasında hatayla karşılaşıldı.
Ek Veri
Protokolü Adı:
Saml'in Bağlı Olduğu Taraf: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
İstisna ayrıntıları:
Protokolü Adı:
Saml'in Bağlı Olduğu Taraf: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
İstisna ayrıntıları:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' '754B9208F1F75C5CC962750F3675C5D129471D80' tarafından tanımlanan ve bağlı olan taraf güvenin şifreleme sertifikası geçerli değildir. Sertifikanın iptal edildiğini, süresinin dolmuş olduğunu veya sertifika zincirinin güvenilir olmadığını belirtmiş olabilir.
at Microsoft.IdentityAsyncResult.End(IAsyncResult sonucu)
at Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 additionalClaims)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue (HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)atMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Çözünürlük şöyledir:
- ADFS'de Powershell'i yönetici olarak açın ve şu komutu çalıştırın:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck Hiçbiri
Not:
- Tanımlayıcı URL'sini tırnak içine girdiğinizden emin olun ve tanımlayıcı URL'si hata mesajında bulunabilir, kopyalayıp yapıştırın.
- Webex for Government (FedRAMP) Control Hub’ı kullanmalıdır https://admin-usgov.webex.com/.
VEYA
- ADFS'de Powershell'i yönetici olarak açın ve şu komutu çalıştırın:
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck Hiçbiri
Not:Yanıt veren taraf güvenini, ADFS'de oluşturulan bir müşteriyle aynı şekilde ve çift tırnak olarak girdiğinizden emin olun.
- Doğrulamak SSO Control hub'da test edin.
Bu makale yararlı oldu mu?
