Introducción
Este documento describe cómo resolver un error "UPN no configurado" después de renovar el certificado de firma SAML de Umbrella.
Overview
"UPN no configurado" es un error genérico que puede producirse por varias razones. Una causa potencial está relacionada con la expiración del certificado de firma SAML de Umbrella, que se renueva anualmente. Para obtener los últimos detalles sobre la expiración del certificado, lea nuestro portal de anuncios.
Si el certificado de Umbrella caduca y no ha realizado ninguna acción, se bloqueará el acceso a Internet a los usuarios con estos posibles errores:
- Error "UPN Not Configured" de la marca Umbrella al navegar por la Web a través de SWG
- Otro error presentado por su proveedor de identidad

Este artículo trata sobre 2 escenarios diferentes que causan el error:
Impacto
Los nuevos inicios de sesión del usuario para SWG fallan y bloquean el acceso a Internet. Esto no se aplica necesariamente a todos los usuarios, pero se activa cuando:
- La sesión de un usuario caduca debido a nuestra configuración de reautenticación (por ejemplo, diariamente)
- Un nuevo usuario inicia sesión
- Un usuario borra la caché del navegador o utiliza un nuevo navegador.
Situación 1: error tras importar el nuevo certificado de paraguas
Si el error ocurre directamente después de hacer un cambio (por ejemplo, en preparación para la renovación del certificado de Umbrella), es probable que se haya cometido un error con la importación del certificado.
Asegúrese de que se importan los certificados Umbrella actuales y nuevos
Como preparación para la renovación del certificado, Umbrella pone a disposición un nuevo certificado, pero el nuevo certificado no se utiliza para la firma hasta el momento de la expiración. Por lo tanto, su configuración de IdP debe tener dos certificados listados en la configuración de Proveedor de Servicios / Persona de Confianza. Reconfigure desde los metadatos para resolver esto.
- Certificado actual: con fecha de vencimiento próxima
- Certificado futuro: válido para el año siguiente.
Asegúrese de que el mapa de reclamaciones de atributos sea correcto
Si usted ha reconfigurado al Proveedor de Servicios/Usuario de Confianza, necesita hacer cambios adicionales en la configuración para asegurarse de que el IdP está enviando los atributos que necesitamos para validar la respuesta SAML. Esto es común con Microsoft ADFS, donde es necesario volver a crear nuestro mapa de reclamaciones.
Situación 2: error tras el vencimiento del certificado de Umbrella
Si el error se produce después de que el certificado de Umbrella haya caducado y no se hayan realizado cambios en el IdP.
Asegúrese de que el nuevo certificado se ha importado al proveedor de identidad
Para resolver el problema, importe manualmente el nuevo certificado en su proveedor de identidad. Cuando nuestro certificado se acerca a la renovación, el nuevo certificado está disponible en nuestro portal de anuncios.
(RECOMENDADO) Configurar actualizaciones automáticas de metadatos
Umbrella ahora proporciona una URL de metadatos fija que se puede utilizar para actualizaciones de metadatos sin problemas. Se recomienda configurar este método para evitar acciones manuales durante la siguiente renovación de certificados.
Asegúrese de que el proveedor de identidad puede tener acceso a las direcciones del servidor de la Lista de revocación de certificados (CRL)
Umbrella ahora utiliza una Autoridad de Certificación diferente, así que asegúrese de que estas direcciones CRL/OCSP estén disponibles para el servidor IdP:
Microsoft ADFS - Ejemplo de Importación Manual de Certificados
Microsoft ADFS es un IdP conocido por validar firmas de solicitudes. El certificado se puede actualizar de la siguiente manera:
- Abrir administración de AD FS
- Amplíe Confianza de Parte Confiadora y localice el RP para Umbrella SWG
- Haga clic con el botón derecho del ratón en el usuario de confianza en ADFS y seleccione Propiedades
- Cargue el nuevo certificado en la pestaña Firma

Cuando se acerca la fecha de vencimiento del certificado, los metadatos proporcionados por Cisco incluyen varios certificados para prepararse para una renovación sin problemas. No elimine el certificado actual mientras siga siendo válido. Cisco continúa firmando con el certificado actual hasta la fecha/hora de vencimiento.