Чи була ця стаття корисною?
Дякуємо за відгук.
Помилка входу в систему SSO при поновленні сертифіката SP через ADFS як IDP
Надіслати відгук?Помилка входу в систему єдиного входу під час подовження сертифіката SP через ADFS як IDP.
Помилка SSO під час оновлення нового сертифіката SP на IdP (ADFS).
Помилка: неприпустимий код стану у відповіді.
Кроки для дослідження:
- Щоб знайти відповідь SAML, зробіть знімок трасування SAML:
- Додайте плагін декодера повідомлень SAML у браузер:
Для Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Для Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Відкрийте плагін і натисніть Копіювати це повідомлення.
- Відкрийте блокнот++, щоб установити. Клацніть тут.
- Вставте повідомлення, щоб безпосередньо знайти відповідь SAML мовою XML.
- Перевірте, чи присутні атрибути в відповіді SAML від IdP.
- Якщо атрибути не відображаються, це означає, що Webex не отримує їх від IdP. Отже, цю проблему необхідно досліджувати з кінця IdP.
- Щоб перевірити, що ADFS Webex покладається на конфігурацію партії, Клацніть тут.
- Коли конфігурація виглядає нормально, перевірте журнали засобу перегляду подій.
- Перевірте помилки ADFS у журналах Windows:
- У журналах Windows шукайте код помилки журналу події ADFS 364. У відомостях події зазначено неприпустимий сертифікат. У цих випадках хост ADFS не дозволено через брандмауер на порту 80 для перевірки сертифіката.
- Дозвольте IdP доступ до порту 80 через брандмауер до Інтернету, щоб він міг виконувати перевірки CRL.
- Якщо порт відкритий, виконайте дії за допомогою Microsoft і його брандмауера.
- Якщо порт 80 не відкрито в брандмауері або перевірки CRL не працюють, вимкніть CRL.
- На сервері ADFS > клацніть Засіб перегляду подій > Програми > ADFS > Адміністратор > виконайте пошук журналу помилки на відмітці часу, коли ви повторили вхід. Якщо ви побачите наступну помилку:
Помилка: "Під час пасивного запиту федерації сталася помилка.
Додаткові дані
Ім’я протоколу: Самл
Сторона, яка покладається: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Деталі винятку:
Ім’я протоколу: Самл
Сторона, яка покладається: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Деталі винятку:
Microsoft.IdentityServer.Service.SecurityTokenService.ВідкликанняПеревіркаВиняток: msis3014: Сертифікат шифрування довіри сторони, що покладається, «https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx», ідентифікований відбитком «754B9208 F1F75C5CC962750F3675C5D129471D80», неприпустимий. Це може свідчити про відкликання сертифіката, його термін дії завершився або ланцюжок сертифікатів не є довіреним.
у Microsoft.IdentityModel.Threading.AsyncResult.End (результат IAsyncResult)
у Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(результат IAsyncResult) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(запитSecurityTokenRequest, IList1& identityClaimSet, List1 additionalClaims) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(запитRequestSecurityToken, List1 additionalClaims) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(запитRequestSecurityToken, List1 additionalClaims)
на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Проблема (HttpSamlRequestMessage httpSamlRequestMessage, ЕлементБезпекиВідІменіOf, Рядок сеансуСтану, Стан ретрансляціїРядка, Рядок& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
у Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, StringReliingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, StringRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String reli
на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
на Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
на Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Проблема (HttpSamlRequestMessage httpSamlRequestMessage, ЕлементБезпекиВідІменіOf, Рядок сеансуСтану, Стан ретрансляціїРядка, Рядок& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
у Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, StringReliingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, StringRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String reli
на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
на Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
на Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Ось резолюція:
- Відкрийте Powershell у ADFS як адміністратор і запустіть команду:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Примітка.
- Переконайтеся, що ви ввели URL-адресу ідентифікатора в лапках, а URL-адресу ідентифікатора можна знайти в повідомленні про помилку, скопіюйте та вставте її.
- Центр керування Webex for Government (FedRAMP) має використовувати https://admin-usgov.webex.com/.
або
- Відкрийте Powershell у ADFS як адміністратор і запустіть команду:
Get-AdfsRelyingPartyTrust -Ім’я "Cisco Webex" | Set-AdfsRelyingPartyTrust -ПідписуванняCertificateRevocationCheck None -ШифруванняCertificateRevocationCheck None
Примітка. Переконайтеся, що ім’я довіри сторони, яка відповідає, введено так само, як і єдиного клієнта, створеного в його ADFS і в подвійних лапках.
- Протестуйте SSO в Control Hub, щоб перевірити.
Чи була ця стаття корисною?
