Помилка входу в SSO при поновленні сертифіката SP через ADFS як ВПО
Помилка входу в SSO при поновленні сертифіката SP через ADFS як ВПО.
Збій єдиного входу при оновленні нового сертифіката SP на IDP (ADFS).
Помилка: Недійсний код статусу у відповідь.
Кроки для розслідування:
- Зробіть трасування SAML, щоб знайти відповідь SAML:
- Додайте Декодер повідомлень SAML плагін до браузера:
Для Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Для Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Відкрийте плагін і натисніть кнопку Скопіювати це повідомлення.
- Відкрийте Notepad++, щоб встановити Натисніть тут.
- Вставте повідомлення, щоб знайти відповідь SAML безпосередньо мовою XML.
- Перевірте, чи присутні атрибути у відповіді SAML від IdP.
- Якщо ви не бачите жодних атрибутів, це означає, що Webex не отримує їх від IdP. Отже, проблему потрібно досліджувати, починаючи з IdP.
- Щоб перевірити ADFS Webex на основі конфігурації сторони, Натисніть тут.
- Коли конфігурація виглядає нормально, перевірте журнали перегляду подій.
- Перевірте наявність помилок ADFS в журналах Windows:
- У журналах Windows знайдіть код помилки журналу подій ADFS 364. Деталі події ідентифікують недійсний сертифікат. У цих випадках хост ADFS не дозволяється через брандмауер на порту 80 перевіряти сертифікат.
- Дозвольте IdP доступ до порту 80 через брандмауер до Інтернету, щоб він міг виконувати перевірки CRL.
- Якщо порт відкритий, зверніться до Microsoft та її брандмауера.
- Якщо порт 80 не відкритий на брандмауері або перевірки CRL не працюють, вимкніть CRL.
- На сервері ADFS > натисніть «Переглядач подій» > « Програми » > ADFS > Admin > знайдіть журнал помилок за позначкою часу, коли ви скопіювали логін. Якщо ви бачите таку помилку:
Помилка. "Виникла помилка під час пасивного запиту федерації.
Ім'я додаткового протоколу даних
: Партія, що покладається на Самла
: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Деталі винятку:
: Партія, що покладається на Самла
: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Деталі винятку:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Сертифікат шифрування довіри сторони, що покладається, ідентифікованийhttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' відбитком пальця '754B9208F1F75C5CC962750F3675C5D129471D80' не є дійсним. Це може свідчити про те, що сертифікат відкликано, термін дії якого закінчився, або що ланцюжок сертифікатів не є надійним.
на веб-сайті Microsoft.IdentityModel.Threading.AsyncResult.End(результат IAsyncResult)
на веб-сайті Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(результат IAsyncResult) на веб-сайті Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 addalClaims) за адресою Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 addalClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relying PartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relying PartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
веб-сайт Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeed, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relying PartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relying PartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
веб-сайт Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Ось резолюція:
- Відкрийте Powershell на ADFS як адміністратор і запустіть команду:
Get-AdfsRelyingPartyTrust -ідентифікатор ''https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx | Set-AdfsRelyingPartyTrust -SignCertificateRevocationCheck none -EncryptionCertificateRevocationCheck none
Примітка.
- Обов’язково введіть URL-адресу ідентифікатора в лапках, і URL-адресу ідентифікатора можна знайти в повідомленні про помилку, скопіюйте та вставте її.
- Webex for Government (FedRAMP) Control Hub необхідно використовувати idbroker-f.webex.com замість idbroker.webex.com .
АБО
- Відкрийте Powershell на ADFS як адміністратор і запустіть команду:
Get-AdfsRelyingPartyTrust -Назва "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Примітка: Переконайтеся, що введено ім’я довіреної сторони, яка відповідає, так само, як і ім’я одного клієнта, створеного в його ADFS, і в подвійних лапках.
- Для перевірки протестуйте SSO на хабі керування.
Чи була ця стаття корисною?
