web-dev-qa-db-ja.com

AD FS SAMLリクエストを認証しない

今朝、Active DirectoryフェデレーションサービスがすべてのSAMLベースの証明書利用者信頼(そのうちの約8つ)に対するSAML認証の実行を停止したことが注目されました。同じADFSサーバー(サーバー2012 R2)を経由するOffice 365ログインで問題が発生していません。週末に更新、再起動、構成の変更は行われず、SAMLは48時間前のように問題なく認証されていました。

依存パーティの信頼の1つであるDokuWikiシステムは、次のエラーを出力します:「ADFS:署名の検証に失敗しました。SAML応答が拒否されました」

サードパーティシステム(SAML認証済み)の場合、「ADFS署名の検証に失敗しました。システム管理者に連絡してください。」というエラーが表示されます。

このADFSサーバーでSAMLを介して認証しようとする2つの異なるシステムから同じエラーが発生しているため、システムを除外し、ビジョンをADFSサーバーに限定しています。

イベントビューアを介したADFS管理ログに表示される新しいイベントは次のとおりです。

The SAML artifact resolution endpoint is not configured or it is disabled. 

The artifact resolution service is not started. 

User Action 
If the artifact resolution service is required, use the AD FS Management snap-in to configure or enable the SAML artifact resolution endpoint.

それは関連しているようです...しかし、私はADFSコンソールまたはpowershellを介してアーティファクト解決について何も見ていません。さらに、同じ問題を抱えたインターネット上で他の多くの人を見つけていません。そのため、いつも私は赤いニシンを追跡していると思います。

Get-ADFSPropertiesから証明書ロールオーバーの詳細を追加するために編集します。

AutoCertificateRollover                    : True
CertificateCriticalThreshold               : 2
CertificateDuration                        : 365
CertificateGenerationThreshold             : 20
CertificatePromotionThreshold              : 5
CertificateRolloverInterval                : 720

Get-AdfsCertificateは以下を示します。

Certificate     : [Subject]
                    CN=*.ourdomain.edu, O=Our Org, L=Eugene, S=Oregon, C=US

                  [Issuer]
                    CN=DigiCert SHA2 High Assurance Server CA, OU=www.digicert.com, O=DigiCert Inc, C=US

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    6/9/2019 5:00:00 PM

                  [Not After]
                    9/8/2020 5:00:00 AM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Service-Communications
IsPrimary       : True
StoreLocation   : LocalMachine
StoreName       : My
Thumbprint      : (Thumprint goes here)

Certificate     : [Subject]
                    CN=ADFS Encryption - fs.our-org.edu

                  [Issuer]
                    CN=ADFS Encryption - fs.our-org.edu

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    2/4/2020 2:13:25 AM

                  [Not After]
                    2/3/2021 2:13:25 AM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Token-Decrypting
IsPrimary       : True
StoreLocation   : CurrentUser
StoreName       : My
Thumbprint      : (Thumprint goes here)

Certificate     : [Subject]
                    CN=ADFS Signing - fs.our-org.edu

                  [Issuer]
                    CN=ADFS Signing - fs.our-org.edu

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    2/4/2020 2:13:27 AM

                  [Not After]
                    2/3/2021 2:13:27 AM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Token-Signing
IsPrimary       : True
StoreLocation   : CurrentUser
StoreName       : My
Thumbprint      : (Thumprint goes here)

Certificate     : [Subject]
                    CN=ADFS Encryption - fs.our-org.edu

                  [Issuer]
                    CN=ADFS Encryption - fs.our-org.edu

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    2/23/2019 8:52:39 PM

                  [Not After]
                    2/23/2020 8:52:39 PM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Token-Decrypting
IsPrimary       : False
StoreLocation   : CurrentUser
StoreName       : My
Thumbprint      : (Thumprint goes here)

Certificate     : [Subject]
                    CN=ADFS Signing - fs.our-org.edu

                  [Issuer]
                    CN=ADFS Signing - fs.our-org.edu

                  [Serial Number]
                    (SerialNumber1)

                  [Not Before]
                    2/23/2019 8:52:40 PM

                  [Not After]
                    2/23/2020 8:52:40 PM

                  [Thumbprint]
                    (Thumprint goes here)

CertificateType : Token-Signing
IsPrimary       : False
StoreLocation   : CurrentUser
StoreName       : My
Thumbprint      : (Thumprint goes here)

これはどこに行きますか?詳細を掘り下げたり、必要に応じて出力/ログを投稿したりできます。

ありがとうございました!

1
SteadH

これがアーティファクト解決の問題であるかどうかは疑問です。

これは、ADFS証明書が展開され、新しい証明書をRPに配布する必要があるという事実に関連しているのでしょうか。

OpenID Connectを使用しているため、O365は影響を受けません。

1
rbrayb