Помилка входу в систему SSO при поновленні сертифіката SP через ADFS як IDP

Помилка входу в систему SSO при поновленні сертифіката SP через ADFS як IDP.

Збій SSO при оновленні нового сертифіката SP на IdP (ADFS).

Помилка: неприпустимий код стану у відповідь.

Кроки для розслідування:

  1. Запишіть трасування SAML, щоб знайти відповідь SAML
Зображення, додане користувачем
  • Відкрийте Notepad ++, щоб інсталювати Натисніть тут
    • Вставте повідомлення, щоб знайти відповідь SAML безпосередньо мовою XML.
  1. Перевірте, чи присутні атрибути у відповіді SAML від IdP
  2. Якщо ви не бачите жодних атрибутів, це означає, що Webex не отримує їх від IdP. Отже, це питання потрібно досліджувати з кінця IdP
  3. Перевірте конфігурацію adfs Webex, що покладається на сторону Натисніть тут
  4. Коли конфігурація виглядає нормально, перевірте журнали перегляду подій
  5. Перевірте наявність помилок ADFS в журналах Windows:
  • У журналах Windows знайдіть код помилки журналу подій ADFS 364. Деталі події ідентифікують недійсний сертифікат. У цих випадках хост ADFS не дозволяється через брандмауер на порту 80 перевіряти сертифікат.
  • Надайте IdP доступ до порту 80 через брандмауер до Інтернету, щоб він міг виконувати перевірку CRL.
    • Якщо порт відкрито, зверніться до корпорації Майкрософт і її брандмауера.
    • Якщо порт 80 не відкрито на брандмауері або перевірки CRL не працюють, вимкніть CRL
  1. На сервері ADFS > натисніть на перегляд подій > програми > ADFS > admin > шукати журнал помилок на часовій позначці, яку ви реплікували логін. Якщо відображається таке повідомлення про помилку:
Помилка. "Виникла помилка під час пасивного запиту федерації.
Додаткове ім'я протоколу даних
: Партія, що покладається на Самла
: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
Деталі винятку:
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Сертифікат шифрування довіри сторони, що покладається, 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx' ідентифікований відбитком пальця '754B9208F1F75C5CC962750F3675C5D129471D80', недійсний. Це може свідчити про те, що сертифікат відкликано, термін його дії минув або що ланцюжок сертифікатів не є надійним.
на веб-сайті Microsoft.IdentityModel.Threading.AsyncResult.End(результат IAsyncResult)
на веб-сайті Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult result) на веб-сайті Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList1& identityClaimSet, List1 additionalClaims) на веб-сайті Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List1 extraClaims)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken( HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired) at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken, SecurityToken deviceSecurityToken)
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext, PassiveProtocolHandler ProtocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext)"

Ось резолюція :
  • Відкрийте Powershell на ADFS як адміністратор і запустіть команду:
Get-AdfsRelyingPartyTrust -Identifier 'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ' | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Примітка. Обов'язково введіть ідентифікатор URL-адресу в лапки, а ідентифікаційну URL-адресу можна знайти в повідомленні про помилку, скопіюйте та вставте її
 
АБО
  • Відкрийте Powershell на ADFS як адміністратор і запустіть команду,
Get-AdfsRelyingPartyTrust -Назва "Cisco Webex" | Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None-EncryptionCertificateRevocationCheck None
 
Примітка. Обов'язково введіть ім'я сторони, що відповідає, довіряє так само, як і той, який клієнт створив на своїй ADFS, і в подвійних лапках.
  • Перевірте єдиний вхід на контрольному хабі для перевірки.

Чи була ця стаття корисною?