Einleitung
In diesem Dokument wird der Fehlerbehebungsfehler "SAML Assertion Expired" (SAML-Bestätigung abgelaufen) bei der Anmeldung bei der Cisco WebEx App/dem Cisco WebEx Control Hub beschrieben.
Voraussetzungen
Anforderung
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Konfiguration für einmalige Anmeldung
- WebEx Control Hub
- ADFS-Server und Powershell
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Windows ADFS-Server 2022
- WebEx Control Hub
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrund
Dieses Dokument beschreibt die Fehlerbehebung bei Single Sign-On (SSO) "SAML Assertion Expired" (SAML-Bestätigung abgelaufen) während der Anmeldung bei Cisco WebEx App/Cisco WebEx Control Hub, der sich nach Eingabe der E-Mail-ID und Abschluss des SSO-Ablaufs selbst präsentiert.
Anmerkung: Dieses Problem tritt hauptsächlich auf dem ADFS-Server auf. Dieses Dokument bezieht sich ausschließlich auf ADFS-IDp.
Schritte zur Fehlerbehebung
- Stellen Sie sicher, dass Sie sich mit den Administratoranmeldeinformationen beim ADFS-Server anmelden können.
- Überprüfen Sie, ob beim Anmeldeversuch eine Fehlermeldung angezeigt wird. Im Idealfall handelt es sich hierbei um eine einfache Behebung, und Sie können das Problem direkt beheben, indem Sie die Fehlermeldung selbst betrachten.
- Die Fehlermeldung "SAML Assertion Expired" (SAML-Assertion abgelaufen) tritt nur dann auf, wenn die ADFS-Serverzeit nicht mit der Zeit des lokalen Computers übereinstimmt. Dies erfordert einen Befehl, um die Zeitdifferenz zu beheben. Sie können jedoch die HAR-Protokolle vom lokalen Computer aus einsehen, und Sie sehen den Unterschied in der HAR-Antwort.
Protokollanalyse
Sie können die Anmeldezeit und die Zeit vor/nach der Anmeldung in den HAR-Protokollen überprüfen:
Anmerkung: Die Erklärungszeit muss zwischen "Nicht vor: Apr 07 2025 09:00:37" und die "Nicht danach: Apr 07 2025 10:00:37 Uhrzeit in der Antwort von SAML" angegeben.
Not Before: Apr 07 2025 09:00:37
Not After: Apr 07 2025 10:00:37
Assertion Time: Apr 07 2025 09:00:07
Ursache
Erklärungszeit: Apr 07 2025 09:00:07 fiel nicht in den Bereich von vor und nicht nach nicht in der SAML Antwort.
Lösung
Führen Sie diesen Befehl auf dem ADFS-Server PowerShell aus, um das Problem zu beheben:
Set-ADFSRelyingPartyTrust - TargetIdentifier "SP Entity ID" - NotBeforeSkew 3
Dieser Befehl kann für verschiedene Organisationen unterschiedlich sein. Der beste Weg, diesen Befehl zu erhalten, ist die Verwendung der SP (Webex)-Entitäts-ID aus den SP-Metadaten für Ihre Organisation anstelle der URL im Befehl.
Die ID der SP-Einheit muss das folgende Format haben: https://idbroker-b-us.webex.com/OrgID.