今天早上,我们注意到 Active Directory 联合身份验证服务已停止对所有基于 SAML 的信赖方信任(约 8 个)执行 SAML 身份验证。通过同一 ADFS 服务器(Server 2012 R2)的 Office 365 登录没有遇到问题。周末没有执行任何更新、重新启动或配置更改,并且 SAML 在 48 小时前一直顺利进行身份验证。
其中一个依赖方信任,即 DokuWiki 系统,发出以下错误:“ADFS:签名验证失败。SAML 响应被拒绝”
第三方系统(SAML 认证)出现错误:“ADFS 签名验证失败,请联系您的系统管理员。”
因为我从两个不同的系统尝试通过此 ADFS 服务器上的 SAML 进行身份验证时得到了相同的错误,所以我排除了这些系统并将我的视野缩小到 ADFS 服务器。
在通过事件查看器查看的 ADFS 管理日志中,唯一出现的新事件是:
The SAML artifact resolution endpoint is not configured or it is disabled.
The artifact resolution service is not started.
User Action
If the artifact resolution service is required, use the AD FS Management snap-in to configure or enable the SAML artifact resolution endpoint.
这似乎很重要...但我在 ADFS 控制台或 powershell 中没有看到任何有关工件解析的信息。此外,我在互联网上没有发现很多其他人有同样的问题,这总是让我认为我在追踪一个转移注意力的东西。
编辑以从 Get-ADFSProperties 添加证书滚动更新详细信息:
AutoCertificateRollover : True
CertificateCriticalThreshold : 2
CertificateDuration : 365
CertificateGenerationThreshold : 20
CertificatePromotionThreshold : 5
CertificateRolloverInterval : 720
Get-AdfsCertificate 显示:
Certificate : [Subject]
CN=*.ourdomain.edu, O=Our Org, L=Eugene, S=Oregon, C=US
[Issuer]
CN=DigiCert SHA2 High Assurance Server CA, OU=www.digicert.com, O=DigiCert Inc, C=US
[Serial Number]
(SerialNumber1)
[Not Before]
6/9/2019 5:00:00 PM
[Not After]
9/8/2020 5:00:00 AM
[Thumbprint]
(Thumprint goes here)
CertificateType : Service-Communications
IsPrimary : True
StoreLocation : LocalMachine
StoreName : My
Thumbprint : (Thumprint goes here)
Certificate : [Subject]
CN=ADFS Encryption - fs.our-org.edu
[Issuer]
CN=ADFS Encryption - fs.our-org.edu
[Serial Number]
(SerialNumber1)
[Not Before]
2/4/2020 2:13:25 AM
[Not After]
2/3/2021 2:13:25 AM
[Thumbprint]
(Thumprint goes here)
CertificateType : Token-Decrypting
IsPrimary : True
StoreLocation : CurrentUser
StoreName : My
Thumbprint : (Thumprint goes here)
Certificate : [Subject]
CN=ADFS Signing - fs.our-org.edu
[Issuer]
CN=ADFS Signing - fs.our-org.edu
[Serial Number]
(SerialNumber1)
[Not Before]
2/4/2020 2:13:27 AM
[Not After]
2/3/2021 2:13:27 AM
[Thumbprint]
(Thumprint goes here)
CertificateType : Token-Signing
IsPrimary : True
StoreLocation : CurrentUser
StoreName : My
Thumbprint : (Thumprint goes here)
Certificate : [Subject]
CN=ADFS Encryption - fs.our-org.edu
[Issuer]
CN=ADFS Encryption - fs.our-org.edu
[Serial Number]
(SerialNumber1)
[Not Before]
2/23/2019 8:52:39 PM
[Not After]
2/23/2020 8:52:39 PM
[Thumbprint]
(Thumprint goes here)
CertificateType : Token-Decrypting
IsPrimary : False
StoreLocation : CurrentUser
StoreName : My
Thumbprint : (Thumprint goes here)
Certificate : [Subject]
CN=ADFS Signing - fs.our-org.edu
[Issuer]
CN=ADFS Signing - fs.our-org.edu
[Serial Number]
(SerialNumber1)
[Not Before]
2/23/2019 8:52:40 PM
[Not After]
2/23/2020 8:52:40 PM
[Thumbprint]
(Thumprint goes here)
CertificateType : Token-Signing
IsPrimary : False
StoreLocation : CurrentUser
StoreName : My
Thumbprint : (Thumprint goes here)
你要用它做什么?我很乐意挖掘任何细节或根据需要发布输出/日志。
谢谢你!
答案1
我怀疑这是否是一个伪影分辨率问题。
我想知道这是否与 ADFS 证书已滚动并且需要将新证书分发给 RP 有关。
O365 不会受到影响,因为它使用 OpenID Connect。