Помилка входу в систему SSO при поновленні сертифіката SP через ADFS як IDP

Помилка входу в систему SSO при поновленні сертифіката SP через ADFS як IDP.

Збій SSO при оновленні нового сертифіката SP на IdP (ADFS).

Помилка: Неприпустимий код стану у відповіді.

Кроки для розслідування:

Щоб знайти відповідь SAML, зробіть знімок трасування SAML:

Додайте плагін декодера повідомлень SAML у браузер:
Для Хрому: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
Для Firefox: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/
Відкрийте плагін і натисніть копіювати це повідомлення.

Відкрийте блокнот++, щоб установити. Клацніть тут.
- Вставте повідомлення, щоб знайти відповідь SAML безпосередньо мовою XML.

Перевірте, чи присутні атрибути в відповіді SAML від IdP.
Якщо ви не бачите жодних атрибутів, це означає, що Webex не отримує їх від IdP. Отже, цю проблему необхідно досліджувати з кінця IdP.
Щоб перевірити, що ADFS Webex покладається на конфігурацію партії, Клацніть тут.
Коли конфігурація виглядає нормально, перевірте журнали засобу перегляду подій.
Перевірте наявність помилок ADFS в журналах Windows:

У журналах Windows знайдіть код помилки журналу подій ADFS 364. Деталі події ідентифікують недійсний сертифікат. У цих випадках хост ADFS не дозволяється через брандмауер на порту 80 перевіряти сертифікат.
Дозвольте IdP доступ до порту 80 через брандмауер до Інтернету, щоб він міг виконувати перевірки CRL.
- Якщо порт відкритий, виконайте дії за допомогою Microsoft і його брандмауера.
- Якщо порт 80 не відкрито в брандмауері або перевірки CRL не працюють, вимкніть CRL.

На сервері ADFS > натисніть на перегляд подій > програми > ADFS > admin > шукати журнал помилок на часовій позначці, яку ви реплікували логін. Якщо ви побачите наступну помилку:

Помилка: "Під час пасивного запиту федерації сталася помилка.

Ім’я протоколу додаткових даних
: Партія, що покладається на Самла
: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Деталі винятку:

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Сертифікат шифрування довіри сторони, що покладається, 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' ідентифікований відбитком пальця '754B9208F1F75C5CC962750F3675C5D129471D80', недійсний. Це може свідчити про те, що сертифікат відкликано, термін його дії минув або що ланцюжок сертифікатів не є надійним.

на веб-сайті Microsoft.IdentityModel.Threading.AsyncResult.End(результат IAsyncResult)

у Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(результат IAsyncResult) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(запитSecurityTokenRequest, IList1& identityClaimSet, List1 additionalClaims) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(запитRequestSecurityToken, List1 additionalClaims) на Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(запитRequestSecurityToken, List1 additionalClaims)на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue (HttpSamlRequestMessage httpSamlRequestMessage, ЕлементБезпекиВідІменіOf, Рядок сеансуСтану, Стан ретрансляціїРядка, Рядок& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken (WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenOnBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)atMicrosoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext, SecurityTokenSecurity, SecurityTokenSecurityDeviceSecurityToken)на Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)на Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)на Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)"

Ось резолюція:

Відкрийте Powershell на ADFS як адміністратор і запустіть команду:

Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Примітки

Переконайтеся, що ви ввели URL-адресу ідентифікатора в лапках, а URL-адресу ідентифікатора можна знайти в повідомленні про помилку, скопіюйте та вставте її.
Необхідно використовувати Control Hub Webex для державних установ (FedRAMP) https://admin-usgov.webex.com/.

АБО

Відкрийте Powershell на ADFS як адміністратор і запустіть команду:

Get-AdfsRelyingPartyTrust -Ім’я "Cisco Webex" | Set-AdfsRelyingPartyTrust -ПідписСертифікатВідкликанняCheck None -ШифруванняCertificateRevocationCheck None

Примітка. Переконайтеся, що ім’я довіри сторони, яка відповідає, введено так само, як і єдиного клієнта, створеного в його ADFS і в подвійних лапках.

Перевірте єдиний вхід на контрольному хабі для перевірки.

Дякуємо за відгук.