Active-Directory
AD FS 未對 SAML 請求進行身份驗證
今天早上,我們注意到 Active Directory 聯合身份驗證服務已停止對所有基於 SAML 的依賴方信任(其中大約 8 個)執行 SAML 身份驗證。通過同一 ADFS 伺服器(伺服器 2012 R2)進行的 Office 365 登錄沒有遇到問題。週末沒有執行更新、重新啟動或配置更改,並且 SAML 很高興在 48 小時前進行身份驗證。
依賴方信任之一,一個 DokuWiki 系統,吐出以下錯誤:“ADFS:簽名驗證失敗。SAML 響應被拒絕”
第 3 方系統(SAML 身份驗證)給出錯誤:“ADFS 簽名驗證失敗,請聯繫您的系統管理員。”
因為我從嘗試在此 ADFS 伺服器上通過 SAML 進行身份驗證的兩個不同系統收到相同的錯誤,所以我排除了這些系統並將我的視野縮小到 ADFS 伺服器。
在通過事件查看器的 ADFS 管理日誌中,唯一出現的新事件是:
The SAML artifact resolution endpoint is not configured or it is disabled. The artifact resolution service is not started. User Action If the artifact resolution service is required, use the AD FS Management snap-in to configure or enable the SAML artifact resolution endpoint.
這似乎是相關的……但我在 ADFS 控制台或通過 powershell 中沒有看到任何關於工件解析的資訊。此外,我在網際網路上沒有找到很多其他人有同樣的問題,這總是讓我認為我正在追踪一個紅鯡魚。
編輯以從 Get-ADFSProperties 添加證書翻轉詳細資訊:
AutoCertificateRollover : True CertificateCriticalThreshold : 2 CertificateDuration : 365 CertificateGenerationThreshold : 20 CertificatePromotionThreshold : 5 CertificateRolloverInterval : 720
Get-AdfsCertificate 顯示:
Certificate : [Subject] CN=*.ourdomain.edu, O=Our Org, L=Eugene, S=Oregon, C=US [Issuer] CN=DigiCert SHA2 High Assurance Server CA, OU=www.digicert.com, O=DigiCert Inc, C=US [Serial Number] (SerialNumber1) [Not Before] 6/9/2019 5:00:00 PM [Not After] 9/8/2020 5:00:00 AM [Thumbprint] (Thumprint goes here) CertificateType : Service-Communications IsPrimary : True StoreLocation : LocalMachine StoreName : My Thumbprint : (Thumprint goes here) Certificate : [Subject] CN=ADFS Encryption - fs.our-org.edu [Issuer] CN=ADFS Encryption - fs.our-org.edu [Serial Number] (SerialNumber1) [Not Before] 2/4/2020 2:13:25 AM [Not After] 2/3/2021 2:13:25 AM [Thumbprint] (Thumprint goes here) CertificateType : Token-Decrypting IsPrimary : True StoreLocation : CurrentUser StoreName : My Thumbprint : (Thumprint goes here) Certificate : [Subject] CN=ADFS Signing - fs.our-org.edu [Issuer] CN=ADFS Signing - fs.our-org.edu [Serial Number] (SerialNumber1) [Not Before] 2/4/2020 2:13:27 AM [Not After] 2/3/2021 2:13:27 AM [Thumbprint] (Thumprint goes here) CertificateType : Token-Signing IsPrimary : True StoreLocation : CurrentUser StoreName : My Thumbprint : (Thumprint goes here) Certificate : [Subject] CN=ADFS Encryption - fs.our-org.edu [Issuer] CN=ADFS Encryption - fs.our-org.edu [Serial Number] (SerialNumber1) [Not Before] 2/23/2019 8:52:39 PM [Not After] 2/23/2020 8:52:39 PM [Thumbprint] (Thumprint goes here) CertificateType : Token-Decrypting IsPrimary : False StoreLocation : CurrentUser StoreName : My Thumbprint : (Thumprint goes here) Certificate : [Subject] CN=ADFS Signing - fs.our-org.edu [Issuer] CN=ADFS Signing - fs.our-org.edu [Serial Number] (SerialNumber1) [Not Before] 2/23/2019 8:52:40 PM [Not After] 2/23/2020 8:52:40 PM [Thumbprint] (Thumprint goes here) CertificateType : Token-Signing IsPrimary : False StoreLocation : CurrentUser StoreName : My Thumbprint : (Thumprint goes here)
你會帶著這個去哪裡?我很樂意根據需要探勘任何細節或發布輸出/日誌。
謝謝!
我懷疑這是否是人工製品解決問題。
我想知道這是否與 ADFS 證書已滾動並且需要將新證書分發給 RP 的事實有關。
O365 不會受到影響,因為它使用 OpenID Connect。