Помилка входу в SSO при поновленні сертифіката SP через ADFS як ВПО
Помилка входу в SSO при поновленні сертифіката SP через ADFS як ВПО.
Збій єдиного входу при оновленні нового сертифіката SP на IDP (ADFS).
Помилка: Недійсний код статусу у відповідь.
Кроки для розслідування:
- Захопити трасування SAML, щоб знайти відповідь SAML:
- Додайте додаток SAML Message Decoder до браузера:
Для Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjieoaeiibojelbhm?hl=uk
Для Firefox: https://addons.mozilla.org/uk-RU/firefox/addon/saml-message-decoder-extension/ - Відкрийте плагін і натисніть кнопку Скопіювати це повідомлення.
- Відкрийте Notepad++, щоб встановити натисніть тут.
- Вставте повідомлення, щоб знайти відповідь SAML безпосередньо мовою XML.
- Перевірте, чи присутні атрибути у відповіді SAML від IdP.
- Якщо ви не бачите жодних атрибутів, це означає, що Webex не отримує їх від IdP. Отже, це питання потрібно розслідувати з кінця IdP.
- Щоб перевірити ADFS Webex залежно від конфігурації партії, натисніть тут.
- Коли конфігурація виглядає добре, перевірте журнали перегляду подій.
- Перевірте наявність помилок ADFS в журналах Windows:
- У журналах Windows знайдіть код помилки журналу подій ADFS 364. Деталі події ідентифікують недійсний сертифікат. У цих випадках хост ADFS не дозволяється через брандмауер на порту 80 перевіряти сертифікат.
- Дозволити IdP доступ до порту 80 через брандмауер до Інтернету, щоб він міг виконувати перевірки CRL.
- Якщо порт відкритий, то слідкуйте за Microsoft і її брандмауером.
- Якщо порт 80 не відкритий на брандмауері або перевірки CRL не працюють, вимкніть CRL.
- На сервері ADFS > Натисніть Перегляд подій > Програми > ADFS > Адміністратор > пошук журналу помилок на позначці часу, коли ви реплікували логін. Якщо ви бачите наступну помилку:
Помилка. "Виникла помилка під час пасивного запиту федерації.
Ім'я додаткового протоколу даних
: Партія, що покладається на Самла
: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx Деталі
винятку:
: Партія, що покладається на Самла
: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx Деталі
винятку:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Сертифікат шифрування довіреної сторони «https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx», ідентифікований відбитком пальця «754B9208F1F75C5CC962750F3675C5D129471D80», недійсний. Це може свідчити про те, що сертифікат відкликано, термін дії якого закінчився, або що ланцюжок сертифікатів не є надійним.
на веб-сайті Microsoft.IdentityModel.Threading.AsyncResult.End(результат IAsyncResult)
на веб-сайті Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(результат IAsyncResult) на веб-сайті Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 addalClaims) за адресою Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 addalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relying PartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relying PartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
веб-сайт Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relying PartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relying PartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
веб-сайт Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Ось така резолюція:
- Відкрийте Powershell на ADFS як адміністратор і запустіть команду:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Примітка.
- Обов 'язково введіть URL-адресу ідентифікатора в лапках, а URL-адресу ідентифікатора можна знайти в повідомленні про помилку, скопіюйте та вставте його.
- Webex for Government (FedRAMP) Control Hub повинен використовувати idbroker-f.webex.com замість idbroker.webex.com .
АБО
- Відкрийте Powershell на ADFS як адміністратор і запустіть команду:
Get-AdfsRelyingPartyTrust -Name "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Примітка:Обов 'язково введіть ім' я довіри сторони, що відповідає, так само, як один клієнт, створений на його ADFS і в подвійних лапках.
- Для перевірки протестуйте SSO на хабі керування.
Чи була ця стаття корисною?
