Назад | Перейти на главную страницу

AD FS не аутентифицирует запросы SAML

Сегодня утром мы обратили внимание на то, что службы федерации Active Directory прекратили проверку подлинности SAML для всех доверительных отношений проверяющей стороны на основе SAML (около 8 из них). При входе в Office 365 через тот же сервер ADFS (сервер 2012 R2) проблем не возникает. Никаких обновлений, перезагрузок или изменений конфигурации в выходные не производилось, и SAML успешно прошел аутентификацию всего 48 часов назад.

Одна из доверяющих сторон, система «ДокуВики», выдает следующую ошибку: «ADFS: не удалось проверить подпись. Ответ SAML отклонен»

Сторонняя система (с аутентификацией SAML) выдает ошибку: «Ошибка проверки подписи ADFS, обратитесь к системному администратору».

Поскольку я получаю ту же ошибку от двух разных систем, пытающихся пройти аутентификацию через SAML на этом сервере ADFS, я исключаю системы и сужаю свое видение до сервера ADFS.

В журнале администратора ADFS через средство просмотра событий появляется только одно новое событие:

The SAML artifact resolution endpoint is not configured or it is disabled. 

The artifact resolution service is not started. 

User Action 
If the artifact resolution service is required, use the AD FS Management snap-in to configure or enable the SAML artifact resolution endpoint.

Что кажется актуальным ... но я ничего не вижу о разрешении артефактов в консоли ADFS или через PowerShell. Кроме того, я не нахожу в Интернете много других людей с той же проблемой, что всегда заставляет меня думать, что я выслеживаю отвлекающий маневр.

Измените, чтобы добавить сведения о ролловере сертификата из Get-ADFSProperties:

AutoCertificateRollover                    : True
CertificateCriticalThreshold               : 2
CertificateDuration                        : 365
CertificateGenerationThreshold             : 20
CertificatePromotionThreshold              : 5
CertificateRolloverInterval                : 720

Get-AdfsCertificate показывает:

Certificate     : [Subject]
                    CN=*.ourdomain.edu, O=Our Org, L=Eugene, S=Oregon, C=US

                  [Issuer]
                    CN=DigiCert SHA2 High Assurance Server CA, OU=www.digicert.com, O=DigiCert Inc, C=US

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    6/9/2019 5:00:00 PM

                  [Not After]
                    9/8/2020 5:00:00 AM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Service-Communications
IsPrimary       : True
StoreLocation   : LocalMachine
StoreName       : My
Thumbprint      : (Thumprint goes here)

Certificate     : [Subject]
                    CN=ADFS Encryption - fs.our-org.edu

                  [Issuer]
                    CN=ADFS Encryption - fs.our-org.edu

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    2/4/2020 2:13:25 AM

                  [Not After]
                    2/3/2021 2:13:25 AM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Token-Decrypting
IsPrimary       : True
StoreLocation   : CurrentUser
StoreName       : My
Thumbprint      : (Thumprint goes here)

Certificate     : [Subject]
                    CN=ADFS Signing - fs.our-org.edu

                  [Issuer]
                    CN=ADFS Signing - fs.our-org.edu

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    2/4/2020 2:13:27 AM

                  [Not After]
                    2/3/2021 2:13:27 AM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Token-Signing
IsPrimary       : True
StoreLocation   : CurrentUser
StoreName       : My
Thumbprint      : (Thumprint goes here)

Certificate     : [Subject]
                    CN=ADFS Encryption - fs.our-org.edu

                  [Issuer]
                    CN=ADFS Encryption - fs.our-org.edu

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    2/23/2019 8:52:39 PM

                  [Not After]
                    2/23/2020 8:52:39 PM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Token-Decrypting
IsPrimary       : False
StoreLocation   : CurrentUser
StoreName       : My
Thumbprint      : (Thumprint goes here)

Certificate     : [Subject]
                    CN=ADFS Signing - fs.our-org.edu

                  [Issuer]
                    CN=ADFS Signing - fs.our-org.edu

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    2/23/2019 8:52:40 PM

                  [Not After]
                    2/23/2020 8:52:40 PM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Token-Signing
IsPrimary       : False
StoreLocation   : CurrentUser
StoreName       : My
Thumbprint      : (Thumprint goes here)

Куда бы вы пошли с этим? Я с радостью откопаю любые подробности или отправлю выходные данные / журналы по мере необходимости.

Спасибо!

Я сомневаюсь, что это проблема разрешения артефактов.

Интересно, связано ли это с тем, что сертификаты ADFS свернуты, и новые сертификаты необходимо распространять на RP.

O365 не пострадает, потому что он использует OpenID Connect.