Introduction
Ce document décrit le dépannage de l'erreur SSO « SAML Assertion Expired » lors de la connexion à l'application Cisco Webex/Cisco Webex Control Hub.
Conditions préalables
Exigence
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Configuration de l'authentification unique
- Concentrateur de contrôle Webex
- Serveur ADFS et Powershell
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Windows ADFS Server 2022
- Concentrateur de contrôle Webex
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Fond
Ce document décrit le dépannage de l'erreur SSO (Single Sign-On) « SAML Assertion Expired » lors de la connexion à l'application Cisco Webex/Cisco Webex Control Hub qui se présente après avoir saisi l'ID d'e-mail et terminé le flux SSO.
Remarque : Ce problème apparaît principalement sur le serveur ADFS. Ce document est spécifique au fournisseur d'ID ADFS uniquement.
Étapes de dépannage
- Vérifiez que vous pouvez vous connecter au serveur ADFS à l'aide des informations d'identification d'administrateur.
- Recherchez le message d'erreur présenté lors de la tentative de connexion. Idéalement, il s'agit d'une solution simple et on peut passer par le dépannage direct du problème en regardant le message d'erreur lui-même.
- Le message d'erreur « SAML Assertion Expired » s'affiche uniquement lorsque l'heure du serveur ADFS ne correspond pas à l'heure de l'ordinateur local. Cela nécessite une commande pour corriger le décalage horaire. Cependant, vous pouvez consulter les journaux HAR de la machine locale et on peut voir la différence dans la réponse HAR.
Analyse des journaux
Vous pouvez vérifier l'heure de connexion et l'heure avant/après dans les journaux HAR :
Remarque : Le temps d'assertion doit se situer entre « Pas avant : Apr 07 2025 09:00:37" et le "Pas après : Apr 07 2025 10:00:37 heure fournie dans la réponse « SAML ».
Not Before: Apr 07 2025 09:00:37
Not After: Apr 07 2025 10:00:37
Assertion Time: Apr 07 2025 09:00:07
Cause première
Temps d'affirmation : 07 avril 2025 09:00:07 n'a pas été dans la plage de non avant et non après fournie dans la réponse SAML.
Solution
Exécutez cette commande sur le serveur ADFS PowerShell pour résoudre le problème :
Set-ADFSRelyingPartyTrust -TargetIdentifier "ID d'entité SP" -NotBeforeSkew 3
Cette commande peut être différente pour différentes organisations. La meilleure façon d'obtenir cette commande est d'utiliser l'ID d'entité SP (Webex) à partir des métadonnées SP pour votre organisation à la place de l'URL dans la commande.
L'ID d'entité SP doit être au format suivant : https://idbroker-b-us.webex.com/OrgID.