Introduction
Ce document décrit comment résoudre une erreur « UPN non configuré » après le renouvellement du certificat de signature Umbrella SAML.
Aperçu
« UPN non configuré » est une erreur générique qui peut se produire pour un certain nombre de raisons. Une cause possible est liée à l'expiration du certificat de signature Umbrella SAML qui est renouvelé sur une base annuelle. Pour les derniers détails sur l'expiration du certificat, veuillez lire notre portail Annonces.
Si le certificat Umbrella expire et que vous n'avez pas pris de mesures, les utilisateurs seront bloqués de l'accès à Internet avec ces erreurs potentielles :
- Erreur « UPN Not Configured » (UPN non configuré) signalée par un parapluie lors de la navigation sur le Web via SWG
- Autre erreur présentée par votre fournisseur d'identité

Cet article présente 2 scénarios différents à l'origine de l'erreur :
Incidence
Les nouvelles ouvertures de session utilisateur pour SWG échouent, bloquant l'accès à Internet. Cela ne s'applique pas nécessairement à tous les utilisateurs, mais se déclenche lorsque :
- La session d'un utilisateur expire en raison de notre paramètre de réauthentification (par exemple, tous les jours)
- Un nouvel utilisateur se connecte
- Un utilisateur efface le cache du navigateur ou utilise un nouveau navigateur.
Scénario 1 - Erreur après l'importation du nouveau certificat Umbrella
Si l'erreur se produit directement après avoir effectué une modification (par exemple, en préparation du renouvellement du certificat d'Umbrella), il est probable qu'une erreur a été commise lors de l'importation du certificat.
S'assurer que les certificats Umbrella actuels et nouveaux sont importés
En préparation du renouvellement du certificat Umbrella met un nouveau certificat à disposition, mais le nouveau certificat n'est pas utilisé pour la signature avant l'expiration. Par conséquent, votre configuration IdP doit avoir deux certificats répertoriés dans la configuration du fournisseur de services/de la partie de confiance. Reconfigurer à partir des métadonnées pour résoudre ce problème.
- Certificat actuel - avec une date d'expiration prochaine
- Futur certificat - qui est valide pour l'année suivante.
Assurez-vous que le mappage des revendications d'attribut est correct
Si vous avez reconfiguré le fournisseur de services/la partie de confiance, vous devez apporter des modifications supplémentaires à la configuration pour vous assurer que le fournisseur d'identité envoie les attributs dont nous avons besoin pour valider la réponse SAML. C'est le cas avec Microsoft ADFS, où notre carte de revendications doit être recréée.
Scénario 2 - Erreur après expiration du certificat Umbrella
Si l'erreur se produit après l'expiration du certificat Umbrella et qu'aucune modification n'a été apportée à l'IdP.
Assurez-vous que le nouveau certificat a été importé dans le fournisseur d'identités
Pour résoudre le problème, importez manuellement le nouveau certificat dans votre fournisseur d'identité. Lorsque notre certificat est sur le point d'être renouvelé, le nouveau certificat est mis à disposition dans notre portail Annonces.
(RECOMMANDÉ) Configurer les mises à jour automatiques des métadonnées
Umbrella fournit désormais une URL de métadonnées fixe qui peut être utilisée pour des mises à jour de métadonnées transparentes. Nous vous recommandons de configurer cette méthode pour empêcher toute action manuelle lors du prochain transfert de certificat.
Assurez-vous que les adresses de serveur de la liste de révocation de certificats (CRL) sont accessibles au fournisseur d'identité
Umbrella utilise désormais une autorité de certification différente. Assurez-vous donc que ces adresses CRL/OCSP sont disponibles pour le serveur IdP :
Microsoft ADFS - Exemple d'importation manuelle de certificats
Microsoft ADFS est un fournisseur d'identifiants populaire connu pour valider les signatures de demande. Le certificat peut être mis à jour comme suit :
- Ouvrir la gestion AD FS
- Développez Fiducies de partie de confiance et localisez le RP pour Umbrella SWG
- Cliquez avec le bouton droit sur la partie de confiance dans ADFS et sélectionnez Propriétés
- Téléchargez le nouveau certificat dans l'onglet Signature.

Lorsque la date d'expiration du certificat approche, les métadonnées fournies par Cisco incluent plusieurs certificats pour préparer la substitution transparente. Ne supprimez pas le certificat actuel tant qu'il est encore valide. Cisco continue à signer avec le certificat actuel jusqu'à la date et l'heure d'expiration.