SSO ADFS ile IDP olarak SP Sertifikası Yenilerken Oturum Açma Hatası
SSO ADFS ile IDP olarak yenilerken oturum açma hatası.
SSO IdP 'de (ADFS) yeni SP sertifikası güncellerken hatayla ilgili hata.
Hata: Yanıtta geçersiz durum kodu.
Araştırmak için adımlar:
- SAML yanıtını bulmak için bir SAML izi yakalayın:
- SAML Message Decoder eklentisini tarayıcıya ekleyin:
Chrome için: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Firefox için: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Eklentiyi açın ve Bu mesajı kopyala 'yatıklayın.
- Notepad++ uygulamasını açın, yüklemek için Buraya tıklayın.
- SAML yanıtını DOĞRUDAN XML dilinde bulmak için mesajı yapıştırın.
- Özniteliklerin IdP’den gelen SAML yanıtında olup olmadığını kontrol edin.
- Hiçbir öznitelik görmüyorsanız bu, öznitelikleri IdP'Webex bir kullanıcı olmadığınız anlamına gelir. Bu nedenle, sorunun IdP ucundan araştırılması gerekir.
- Parti yapılandırmasına bağlı ADFS Webex’i kontrol etmek için buraya tıklayın.
- Yapılandırma iyi görünüyorsa etkinlik görüntüleyici günlüklerini kontrol edin.
- Windows günlüklerinde ADFS hatalarını kontrol edin:
- Windows günlüklerinde ADFS olay günlüğü hata kodu 364'ü bakın. Olay ayrıntıları geçersiz bir sertifikayı tanımlar. Bu tür durumlarda ADFS ana bilgisayarının sertifikayı doğrulaması için 80 numaralı bağlantı noktasındaki güvenlik duvarını geçmesine izin verilmez.
- CRL kontrollerini gerçekleştirebilmesi için IdP’nin internete güvenlik duvarı üzerinden bağlantı noktası 80’e erişmesine izin verin.
- Bağlantı noktası açıksa Microsoft ve güvenlik duvarıyla devam edin.
- Güvenlik duvarında bağlantı noktası 80 açık değilse veya CRL kontrolleri çalışmıyorsa CRL’yi devre dışı bırakın.
- ADFS sunucusunda > tıklayın Etkinlik Görüntüleyici > Uygulamalar > ADFS > Yönetici > oturum açmanın kopyalı zamanında hata günlüğünü aramanızı sağlar. Aşağıdaki hatayı görürseniz:
Hata: "Federasyon isteği sırasında hatayla karşılaşıldı.
Ek Veri
Protokolü Adı:
Saml'in Bağlı Olduğu Taraf: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
İstisna ayrıntıları:
Protokolü Adı:
Saml'in Bağlı Olduğu Taraf: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
İstisna ayrıntıları:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' '754B9208F1F75C5CC962750F3675C5D129471D80' tarafından tanımlanan ve bağlı olan taraf güvenin şifreleme sertifikası geçerli değildir. Sertifikanın iptal edildiğini, süresinin dolmuş olduğunu veya sertifika zincirinin güvenilir olmadığını belirtmiş olabilir.
at Microsoft.IdentityAsyncResult.End(IAsyncResult sonucu)
at Microsoft.IdentityAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(İstekGüvenlik İsteği, Liste1 ekClaims)
at Microsoft.IdentityServer.Web.Protocols.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElementOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext bağlamı, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext bağlamı, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
Microsoft.IdentityServer.Web.Protocols.SamlProtocolHandler.Process(ProtocolContext context) at
Microsoft.IdentityServer.Web.İşlemeProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, VettocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.VettocolListener.OnGetContext(WrappedHttpListenerContext bağlamı)"
at Microsoft.IdentityServer.Web.Protocols.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElementOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext bağlamı, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext bağlamı, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
Microsoft.IdentityServer.Web.Protocols.SamlProtocolHandler.Process(ProtocolContext context) at
Microsoft.IdentityServer.Web.İşlemeProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, VettocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.VettocolListener.OnGetContext(WrappedHttpListenerContext bağlamı)"
Işte çözünürlük:
- ADFS'de Powershell'i yönetici olarak açın ve şu komutu çalıştırın:
Get-AdfsRelyingPartyTrust -Identifier https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' ' | Set-AdfsRelyingPartyTrust -signingCertificateRevocationCheck None -EncryptionCertificateRevocationCheck Hiçbiri
Not:
- Tanımlayıcı URL'sini tırnak içine girdiğinizden emin olun ve tanımlayıcı URL'si hata mesajında bulunabilir, kopyalayıp yapıştırın.
- Webex for Government (FedRAMP) Kontrol Hub'ı kullanmalıdırhttps://admin-usgov.webex.com/.
VEYA
- ADFS'de Powershell'i yönetici olarak açın ve şu komutu çalıştırın:
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SignCertificateRevocationCheck None -ŞifrelemeCertificateRevocationCheck None
Not:Yanıtlayan taraf güveninin adını, ADFS'de oluşturulan bir müşteriyle aynı ve çift tırnak içinde girdiğinizden emin olun.
- Doğrulamak SSO Control hub'da test edin.
Bu makale yararlı oldu mu?
