本文是否有幫助?
感謝您的意見回饋。
以 ADFS 作為 IDP 進行 SP 憑證更新時,SSO 登入失敗
意見回饋?當透過 ADFS 作為 IDP 續訂 SP 憑證時, SSO登入失敗。
在 IdP (ADFS) 上更新新的 SP 憑證時, SSO失敗。
錯誤:回應中的狀態代碼無效。
調查步驟:
- 擷取SAML追踪以尋找SAML回應:
- 新增SAML訊息解碼器瀏覽器的外掛程式:
對於 Chrome: https://chrome.google.com/webstore/detail/saml-message-decoder/mpabchoaimgbdbbjjieoaeiibojelbhm?hl=en
對於 Firefox: https://addons.mozilla.org/en-US/Firefox/addon/saml-message-decoder-extension/ - 開啟外掛程式並按一下複製此訊息。
- 開啟 Notepad++,以安裝 按一下這裡。
- 貼上訊息以直接尋找XML語言的SAML回應。
- 檢查屬性是否存在於 IdP 的SAML回應中。
- 如果您看不到任何屬性,則表示Webex未從 IdP 接收這些屬性。 因此,需要從 IdP 端調查問題。
- 若要檢查 ADFS Webex依賴方設定,按一下這裡。
- 當設定看起來正常時,請檢查活動檢視程式記錄。
- 檢查 Windows 記錄中的 ADFS 錯誤:
- 在 Windows 記錄中,尋找 ADFS 事件記錄錯誤碼364。 活動詳細資料識別出無效的憑證。 在這些情況下,不允許 ADFS 主機透過防火牆在連接埠 80 上驗證憑證。
- 允許 IdP 存取連接埠 80 透過防火牆到達網際網路,因此它可以執行 CRL 檢查。
- 如果連接埠已開啟,請使用Microsoft及其防火牆跟進。
- 如果防火牆上未開啟連接埠 80 或者 CRL 檢查不起作用,請停用 CRL。
- 在 ADFS 伺服器上 > 按一下活動檢視程式>應用程式> ADFS >管理員> 搜尋您複製登入時間戳記的錯誤記錄。 如果您看到以下錯誤:
錯誤: 「在同盟被動請求期間發生錯誤。
其他資料
通訊協定名稱: 嚗
依賴方: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
例外情況詳細資料:
通訊協定名稱: 嚗
依賴方: https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx
例外情況詳細資料:
Microsoft.IdentityServer.Service.SecurityTokenService.RelocationValidationException: MSI3014: 由指紋「754B9208F1F75C5CC962750F3675C5D129471D80」識別的依賴方信任「https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx」的加密憑證無效。 這可能指出憑證已被撤銷、已過期或憑證鏈結不受信任。
在Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult 結果)
在Microsoft.IdentityModel.Threading.TypedAsyncResult1.End(IAsyncResult 結果)在Microsoft .IdentityServer 上。在Microsoft .IdentityServer 上的網路 .WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken 請求,IList1& identityClaimSet,List1 otherClaims)。 網路.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken 請求,List1 otherClaims)
在Microsoft.IdentityServer 上。 網路.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequest訊息 httpSamlRequest訊息,SecurityTokenElement onBehalfOf,字串 sessionState,字串 relayState,字串與newSamlSession,字串與 samlp驗證提供者,需要布林isUrlTransationNeeded,WrappedHttpListenerContext 內容,布林isKmsiRequested)
在Microsoft.IdentityServer 上。 網路.Protocols.Saml.SamlProtocol處理程序.RequestBearerToken(WrappingHttpListenerContext 內容,HttpSamlRequestMessage httpSamlRequest,SecurityTokenElement onBehalfOf,字串 relyingPartyIdentifier,布林isKmsiRequested,布林isApplicationProxyToken必需,字串和 samlpSessionState,字串和 samlp驗證提供者)在 Microsoft.IdentityServer。 網路.Protocols.Saml.SamlProtocol處理程序.BuildSignIn回應核心與SerializedToken(HttpSamlRequestMessage httpSamlRequest,WrappedHttpListenerContext 內容,字串 relyingPartyIdentifier,SecurityToken元素signOnToken元素,布林isKmsiRequested,布林isApplicationProxyToken必填)在Microsoft.IdentityServer 上。 網路.Protocols.Saml.SamlProtocolHandler.BuildSignIn回應核心與安全性權杖(SamlSignInContext 內容, 安全性權杖安全權杖, 安全性權杖裝置安全性權杖)
在Microsoft.IdentityServer 上。 網路.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext 內容)
在Microsoft.IdentityServer 上。 網路.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContextprotocolContext,PassiveProtocolHandlerprotocolHandler)
在Microsoft.IdentityServer 上。 網路.PassiveProtocolListener.OnGetContext(WrappingHttpListenerContext 內容)」
在Microsoft.IdentityServer 上。 網路.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequest訊息 httpSamlRequest訊息,SecurityTokenElement onBehalfOf,字串 sessionState,字串 relayState,字串與newSamlSession,字串與 samlp驗證提供者,需要布林isUrlTransationNeeded,WrappedHttpListenerContext 內容,布林isKmsiRequested)
在Microsoft.IdentityServer 上。 網路.Protocols.Saml.SamlProtocol處理程序.RequestBearerToken(WrappingHttpListenerContext 內容,HttpSamlRequestMessage httpSamlRequest,SecurityTokenElement onBehalfOf,字串 relyingPartyIdentifier,布林isKmsiRequested,布林isApplicationProxyToken必需,字串和 samlpSessionState,字串和 samlp驗證提供者)在 Microsoft.IdentityServer。 網路.Protocols.Saml.SamlProtocol處理程序.BuildSignIn回應核心與SerializedToken(HttpSamlRequestMessage httpSamlRequest,WrappedHttpListenerContext 內容,字串 relyingPartyIdentifier,SecurityToken元素signOnToken元素,布林isKmsiRequested,布林isApplicationProxyToken必填)在Microsoft.IdentityServer 上。 網路.Protocols.Saml.SamlProtocolHandler.BuildSignIn回應核心與安全性權杖(SamlSignInContext 內容, 安全性權杖安全權杖, 安全性權杖裝置安全性權杖)
在Microsoft.IdentityServer 上。 網路.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext 內容)
在Microsoft.IdentityServer 上。 網路.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContextprotocolContext,PassiveProtocolHandlerprotocolHandler)
在Microsoft.IdentityServer 上。 網路.PassiveProtocolListener.OnGetContext(WrappingHttpListenerContext 內容)」
以下是解析度:
- 開啟Powershell以管理員身份在 ADFS 上執行指令,並執行指令:
獲取 AdfsRelyingPartyTrust -標識符'https://idbroker.webex.com/39xxxx4ea-4xxe-416e-bd4f-4cxxxxxxx ’ | 家設定 AdfsRelyingPartyTrust -SigningCertificateRevocationCheck 無 -EncryptionCertificateRevocationCheck 無
附註:
- 請確保輸入帶引號的標識符URL且標識符URL可在錯誤訊息中找到,請複制並貼上它。
- 政府版Webex (FedRAMP) Control Hub 必須使用 https://admin-usgov.webex.com/ 。
或
- 開啟Powershell以管理員身份在 ADFS 上執行指令,並執行指令:
取得AdfsRelyingPartyTrust -名稱「Cisco Webex」|設定 AdfsRelyingPartyTrust -SigningCertificateRevocationCheck 無 -EncryptionCertificateRevocationCheck 無
附註:請確保輸入與客戶在其 ADFS 上建立的相同的回覆方信任名稱,並帶有雙引號。
- 在 Control Hub 上測試SSO以進行驗證。
本文是否有幫助?
