今天早上,我们注意到 Active Directory 联合服务已停止对所有基于 SAML 的依赖方信任(其中大约 8 个)执行 SAML 身份验证。通过同一 ADFS 服务器(服务器 2012 R2)进行的 Office 365 登录没有遇到问题。周末没有执行更新、重新启动或配置更改,并且 SAML 很高兴在 48 小时前进行身份验证。
依赖方信任之一,一个 DokuWiki 系统,吐出以下错误:“ADFS:签名验证失败。SAML 响应被拒绝”
第 3 方系统(SAML 身份验证)给出错误:“ADFS 签名验证失败,请联系您的系统管理员。”
因为我从尝试在此 ADFS 服务器上通过 SAML 进行身份验证的两个不同系统收到相同的错误,所以我排除了这些系统并将我的视野缩小到 ADFS 服务器。
在通过事件查看器的 ADFS 管理日志中,唯一出现的新事件是:
The SAML artifact resolution endpoint is not configured or it is disabled.
The artifact resolution service is not started.
User Action
If the artifact resolution service is required, use the AD FS Management snap-in to configure or enable the SAML artifact resolution endpoint.
这似乎是相关的......但我在 ADFS 控制台或通过 powershell 中没有看到任何关于工件解析的信息。此外,我在互联网上没有找到很多其他人有同样的问题,这总是让我认为我正在追踪一个红鲱鱼。
编辑以从 Get-ADFSProperties 添加证书翻转详细信息:
AutoCertificateRollover : True
CertificateCriticalThreshold : 2
CertificateDuration : 365
CertificateGenerationThreshold : 20
CertificatePromotionThreshold : 5
CertificateRolloverInterval : 720
Get-AdfsCertificate 显示:
Certificate : [Subject]
CN=*.ourdomain.edu, O=Our Org, L=Eugene, S=Oregon, C=US
[Issuer]
CN=DigiCert SHA2 High Assurance Server CA, OU=www.digicert.com, O=DigiCert Inc, C=US
[Serial Number]
(SerialNumber1)
[Not Before]
6/9/2019 5:00:00 PM
[Not After]
9/8/2020 5:00:00 AM
[Thumbprint]
(Thumprint goes here)
CertificateType : Service-Communications
IsPrimary : True
StoreLocation : LocalMachine
StoreName : My
Thumbprint : (Thumprint goes here)
Certificate : [Subject]
CN=ADFS Encryption - fs.our-org.edu
[Issuer]
CN=ADFS Encryption - fs.our-org.edu
[Serial Number]
(SerialNumber1)
[Not Before]
2/4/2020 2:13:25 AM
[Not After]
2/3/2021 2:13:25 AM
[Thumbprint]
(Thumprint goes here)
CertificateType : Token-Decrypting
IsPrimary : True
StoreLocation : CurrentUser
StoreName : My
Thumbprint : (Thumprint goes here)
Certificate : [Subject]
CN=ADFS Signing - fs.our-org.edu
[Issuer]
CN=ADFS Signing - fs.our-org.edu
[Serial Number]
(SerialNumber1)
[Not Before]
2/4/2020 2:13:27 AM
[Not After]
2/3/2021 2:13:27 AM
[Thumbprint]
(Thumprint goes here)
CertificateType : Token-Signing
IsPrimary : True
StoreLocation : CurrentUser
StoreName : My
Thumbprint : (Thumprint goes here)
Certificate : [Subject]
CN=ADFS Encryption - fs.our-org.edu
[Issuer]
CN=ADFS Encryption - fs.our-org.edu
[Serial Number]
(SerialNumber1)
[Not Before]
2/23/2019 8:52:39 PM
[Not After]
2/23/2020 8:52:39 PM
[Thumbprint]
(Thumprint goes here)
CertificateType : Token-Decrypting
IsPrimary : False
StoreLocation : CurrentUser
StoreName : My
Thumbprint : (Thumprint goes here)
Certificate : [Subject]
CN=ADFS Signing - fs.our-org.edu
[Issuer]
CN=ADFS Signing - fs.our-org.edu
[Serial Number]
(SerialNumber1)
[Not Before]
2/23/2019 8:52:40 PM
[Not After]
2/23/2020 8:52:40 PM
[Thumbprint]
(Thumprint goes here)
CertificateType : Token-Signing
IsPrimary : False
StoreLocation : CurrentUser
StoreName : My
Thumbprint : (Thumprint goes here)
你会带着这个去哪里?我很乐意根据需要挖掘任何细节或发布输出/日志。
谢谢!
我怀疑这是否是人工制品解决问题。
我想知道这是否与 ADFS 证书已滚动并且需要将新证书分发给 RP 的事实有关。
O365 不会受到影响,因为它使用 OpenID Connect。