Помилка входу в систему SSO під час поновлення сертифіката SP через ADFS як IDP
Помилка входу в систему SSO під час поновлення сертифіката SP через ADFS як IDP.
Помилка SSO під час оновлення нового сертифіката SP для IdP (ADFS).
Помилка: неприпустимий код стану у відповіді.
Дії для перевірки:
- Запишіть трасування SAML, щоб знайти відповідь SAML:
- Додайте Декодер повідомлень SAML плагін для браузера:
Для Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Для Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/ - Відкрийте плагін і клацніть Скопіюйте це повідомлення .
- Відкрийте Notepad++, щоб установити Клацніть тут .
- Вставте повідомлення, щоб знайти відповідь SAML мовою XML.
- Перевірте, чи присутні атрибути у відповіді SAML від IdP.
- Якщо ви не бачите жодних атрибутів, це означає, що Webex не отримує їх від IdP. Тому цю проблему потрібно дослідити з боку IdP.
- Щоб перевірити ADFS Webex на основі конфігурації учасників, Клацніть тут .
- Коли конфігурація буде нормальною, перевірте журнали засобу перегляду подій.
- Перевірте помилки ADFS в журналах Windows:
- У журналах Windows знайдіть код помилки журналу події ADFS 364. Деталі події ідентифікують неприпустимий сертифікат. У цих випадках хосту ADFS не дозволено перевіряти сертифікат через брандмауер на порту 80.
- Дозволити IdP доступ до порту 80 через брандмауер до інтернету, щоб він міг виконувати перевірку CRL.
- Якщо порт відкритий, зверніться до Microsoft і її брандмауера.
- Якщо порт 80 не відкрито на брандмауері або перевірка CRL не працює, вимкніть CRL.
- На сервері ADFS > Клацніть Засіб перегляду подій > Програми > ADFS > Адміністратор > шукайте журнал помилок за міткою часу, за якою ви відтворили дані входу. Якщо відображається така помилка:
Помилка. «Сталася помилка під час пасивного запиту об’єднання.
Додаткові дані
Ім’я протоколу: Saml
Довірена сторона: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Відомості про виняток:
Ім’я протоколу: Saml
Довірена сторона: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Відомості про виняток:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Сертифікат шифрування довіри перевіряючої сторониhttps://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' ідентифікований за відбитком «754B9208F1F75C5CC962750F3675C5D129471D80», неприпустимий. Це може свідчити про те, що сертифікат було відкликано, термін його дії закінчився або що ланцюжок сертифікатів не є довіреним.
на Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult результат)
на Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult результат) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityTokenЗапит, IList1& identityClaimSet. запит, список1 додаткових запитів)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, маркер безпеки маркер безпеки, маркер безпеки пристрою маркер безпеки)
на сервері Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(контекст контексту протоколу)
на сервері Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
на Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, маркер безпеки маркер безпеки, маркер безпеки пристрою маркер безпеки)
на сервері Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(контекст контексту протоколу)
на сервері Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
на Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"
Ось роздільна здатність:
- Відкрити PowerShell в ADFS як адміністратор і виконайте команду:
Get-AdfsRelyingPartyTrust —ідентифікатор 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Примітка.
- Переконайтеся, що URL-адресу ідентифікатора введено в лапки, і URL-адресу ідентифікатора можна знайти в повідомленні про помилку, скопіюйте та вставте її.
- Необхідно використовувати Control Hub Webex для державних установ (FedRAMP). https://admin-usgov.webex.com/.
АБО
- Відкрити PowerShell в ADFS як адміністратор і виконайте команду:
Get-AdfsRelyingPartyTrust —Ім’я «Cisco Webex»| Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Примітка :Обов’язково введіть ім’я довіреної сторони-відповідача, що й ім’я одного клієнта, створеного в його ADFS, і в подвійних лапках.
- Перевірте SSO в Control Hub, щоб перевірити.
Чи була ця стаття корисною?
