SSO ADFS ile IDP olarak SP Sertifikası Yenilerken Oturum Açma Hatası

SSO ADFS ile IDP olarak yenilerken oturum açma hatası.

SSO IdP 'de (ADFS) yeni SP sertifikası güncellerken hatayla ilgili hata.

Hata: Yanıtta geçersiz durum kodu.

Araştırmak için adımlar:

  1. SAML yanıtını bulmak için bir SAML izlemesi yakala
Kullanıcı tarafından eklenen görüntü
  • Notepad++'i açın, yüklemek için burayı tıklatın
    • SAML yanıtını DOĞRUDAN XML dilinde bulmak için mesajı yapıştırın.
  1. Özniteliklerin IdP'den SAML yanıtlarında olup olduğunu kontrol edin
  2. Hiçbir öznitelik görmüyorsanız bu, öznitelikleri IdP'Webex bir kullanıcı olmadığınız anlamına gelir. Bu nedenle sorun IdP bitişi ile araştırılması gerekir
  3. ADFS ayarlarını kontrol Webex parti yapılandırmasına tıklayın Buraya tıklayın
  4. Yapılandırma iyi görünüyorsa etkinlik görüntüleyici günlüklerini kontrol edin
  5. Windows günlüklerinde ADFS hatalarını kontrol edin:
  • Windows günlüklerinde ADFS olay günlüğü hata kodu 364'ü bakın. Olay ayrıntıları geçersiz bir sertifikayı tanımlar. Bu tür durumlarda ADFS ana bilgisayarının sertifikayı doğrulaması için 80 numaralı bağlantı noktasındaki güvenlik duvarını geçmesine izin verilmez.
  • IdP'nin CRL kontrollerini gerçekleştirmek için internete güvenlik duvarı üzerinden bağlantı noktası 80'e erişmesine izin ver.
    • Bağlantı noktası açıksa Microsoft ve güvenlik duvarıyla devam edin.
    • Güvenlik duvarında bağlantı noktası 80 açık değilse veya CRL kontrolleri çalışmıyorsa CRL'yi devre dışı bırak
  1. ADFS sunucusunda > tıklayın Etkinlik Görüntüleyici > Uygulamalar > ADFS > Yönetici > oturum açmanın kopyalı zamanında hata günlüğünü aramanızı sağlar. Şu hatayı görüyorsanız:
Hata: "Federasyon isteği sırasında hatayla karşılaşıldı.
Ek Veri
Protokolü Adı:
Saml'in Bağlı Olduğu Taraf: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
İstisna ayrıntıları:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' '754B9208F1F75C5CC962750F3675C5D129471D80' tarafından tanımlanan ve bağlı olan taraf güvenin şifreleme sertifikası geçerli değildir. Sertifikanın iptal edildiğini, süresinin dolmuş olduğunu veya sertifika zincirinin güvenilir olmadığını belirtmiş olabilir.
at Microsoft.IdentityAsyncResult.End(IAsyncResult sonucu)
at Microsoft.IdentityAsyncResult1.End(IAsyncResult result) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(İstekGüvenlik İsteği, Liste1 ekClaims)
at Microsoft.IdentityServer.Web.Protocols.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElementOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext bağlamı, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext bağlamı, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
Microsoft.IdentityServer.Web.Protocols.SamlProtocolHandler.Process(ProtocolContext context) at
Microsoft.IdentityServer.Web.İşlemeProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, VettocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.VettocolListener.OnGetContext(WrappedHttpListenerContext bağlamı)"

Şu çözünürlük:
  • ADFS'de Powershell'i yönetici olarak açın ve şu komutu çalıştırın:
Get-AdfsRelyingPartyTrust -Identifier https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' ' | Set-AdfsRelyingPartyTrust -signingCertificateRevocationCheck None -EncryptionCertificateRevocationCheck Hiçbiri
Not: Tanımlayıcı URL'sini tırnak içine girmeyi unutmayın ve tanımlayıcı URL'sinin hata mesajında bulunabilir, kopyalayıp yapıştırın
 
VEYA
  • ADFS'de Powershell'i yönetici olarak açın ve komutu çalıştırın,
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck Hiçbiri
 
Not: Yanıt oluşturan taraf güvenini, ADFS'de oluşturulan bir müşteriyle aynı şekilde ve çift tırnak olarak girmeyi seçin.
  • Doğrulamak SSO Control hub'da test edin.

Bu makale yararlı oldu mu?