خطأ لم يتم تكوين أستكشاف أخطاء UPN وإصلاحها بعد تجديد شهادة Umbrella في SWG SAML

المقدمة

يوضح هذا المستند كيفية حل خطأ "UPN لم يتم تكوينه" بعد تجديد شهادة توقيع Umbrella SAML.

نظرة عامة

"لم يتم تكوين UPN" هو خطأ عام يمكن أن يحدث لعدد من الأسباب. يتعلق أحد الأسباب المحتملة بانتهاء صلاحية شهادة توقيع Umbrella SAML التي يتم تجديدها سنويا. للحصول على أحدث التفاصيل حول انتهاء صلاحية الشهادة، الرجاء قراءة بوابة الإعلانات الخاصة بنا.

إذا انتهت صلاحية شهادة Umbrella ولم تقم باتخاذ إجراء، فسيتم منع المستخدمين من الوصول إلى الإنترنت مع ظهور هذه الأخطاء المحتملة:

• خطأ Umbrella-UPN Not Configuration" عند تصفح الويب من خلال SWG
• هناك خطأ آخر تم تقديمه من قبل موفر الهوية

يناقش هذا المقال سيناريوهين مختلفين يسببان الخطأ:

• السيناريو 1 - خطأ بعد إستيراد شهادة Umbrella جديدة
  
  
  

• السيناريو 2 - خطأ بعد انتهاء صلاحية شهادة Umbrella

التأثير

فشل تسجيل دخول المستخدم الجديد ل SWG، مما يؤدي إلى حظر الوصول إلى الإنترنت. لا ينطبق هذا بالضرورة على جميع المستخدمين ولكن يتم تشغيله عند:

• تنتهي صلاحية جلسة عمل المستخدم بسبب إعداد إعادة المصادقة (على سبيل المثال، يوميا)
• تم تسجيل دخول مستخدم جديد
• يقوم المستخدم بمسح ذاكرة التخزين المؤقت للمستعرض أو يستخدم مستعرض جديد.

السيناريو 1 - خطأ بعد إستيراد شهادة Umbrella جديدة

إذا حدث الخطأ مباشرة بعد إجراء تغيير (على سبيل المثال، في الإعداد لتجديد شهادة Umbrella) فمن المحتمل أن يكون قد حدث خطأ في إستيراد الشهادة.

تأكد من إستيراد كل من شهادات المظلة الحالية والجديدة 

تحضيرا لشهادة التجديد Umbrella تتيح شهادة جديدة، ولكن لا يتم إستخدام الشهادة الجديدة للتوقيع حتى وقت انتهاء الصلاحية.  لذلك يجب أن يحتوي تكوين IDp الخاص بك على شهادتين مدرجتين في تكوين مزود الخدمة / تكوين الطرف المعول.  أعد التكوين من بيانات التعريف لحل هذه المشكلة.

• الشهادة الحالية - بتاريخ انتهاء الصلاحية القادم
• الشهادة المستقبلية - الصالحة للسنة التالية.

تأكد من صحة مخطط مطالبات السمة 

إذا قمت بإعادة تكوين مزود الخدمة / جهة الاعتماد، فأنت بحاجة إلى إجراء تغييرات تكوين إضافية للتأكد من أن المعرف يرسل السمات التي نحتاج إليها للتحقق من صحة إستجابة SAML. وهذا شائع مع Microsoft ADFS حيث يلزم إعادة إنشاء خريطة المطالبات.

السيناريو 2 - خطأ بعد انتهاء صلاحية شهادة Umbrella

إذا حدث الخطأ بعد انتهاء صلاحية شهادة Umbrella ولم يتم إجراء أي تغييرات على IdP.

تأكد من إستيراد الشهادة الجديدة إلى موفر الهوية

لحل المشكلة قم باستيراد الشهادة الجديدة يدويا إلى موفر الهوية. عندما تقترب شهادتنا من التجديد، يتم توفير الشهادة الجديدة في مدخل الإعلانات.

(مستحسن) تكوين تحديثات بيانات التعريف التلقائية 

توفر Umbrella الآن عنوان URL ثابت لبيانات التعريف يمكن إستخدامه لتحديث بيانات التعريف بشكل سلس.  نوصي بتكوين هذه الطريقة لمنع الإجراء اليدوي أثناء إعادة توجيه الشهادة التالية.

تأكد من إمكانية الوصول إلى عناوين خادم قائمة إبطال الشهادات (CRL) لموفر الهوية

تستخدم Umbrella الآن مرجع شهادات مختلف لضمان توفر عناوين CRL/OCSP هذه لخادم IdP:

• http://validation.identrust.com
• http://commercial.ocsp.identrust.com

Microsoft ADFS - مثال لاستيراد الشهادة اليدوية

إن Microsoft ADFS هو معرف شائع معروف بتدقيق توقيعات الطلب. يمكن تحديث الشهادة كما يلي:

• فتح إدارة AD FS
• قم بتوسيع ثقة الجهات المعتمدة وحدد موقع RP ل Umbrella SWG
• انقر بزر الماوس الأيمن على الطرف المعول في ADFS وحدد خصائص
• تحميل الشهادة الجديدة على علامة التبويب توقيع
  

عند الوصول إلى تاريخ انتهاء صلاحية الشهادة، تتضمن بيانات التعريف المقدمة من Cisco شهادات متعددة للإعداد لعملية النقل بسلاسة. لا تقم بحذف الشهادة الحالية بينما لا تزال صالحة. تستمر Cisco في التوقيع بالشهادة الحالية حتى تاريخ/وقت انتهاء الصلاحية.