Dépannage de l'erreur UPN non configurée après le renouvellement du certificat Umbrella dans SWG SAML

Options de téléchargement

  • PDF     (292.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (147.1 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (181.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:27 août 2025
ID du document:224690

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment résoudre une erreur « UPN non configuré » après le renouvellement du certificat de signature Umbrella SAML.

    Aperçu

    « UPN non configuré » est une erreur générique qui peut se produire pour un certain nombre de raisons. Une cause possible est liée à l'expiration du certificat de signature Umbrella SAML qui est renouvelé sur une base annuelle. Pour les derniers détails sur l'expiration du certificat, veuillez lire notre portail Annonces.

    Si le certificat Umbrella expire et que vous n'avez pas pris de mesures, les utilisateurs seront bloqués de l'accès à Internet avec ces erreurs potentielles :

    • Erreur « UPN Not Configured » (UPN non configuré) signalée par un parapluie lors de la navigation sur le Web via SWG
    • Autre erreur présentée par votre fournisseur d'identité

    UPN is Not Configured Error

    Cet article présente 2 scénarios différents à l'origine de l'erreur :

    • Scénario 1 - Erreur après l'importation du nouveau certificat Umbrella


    • Scénario 2 - Erreur après expiration du certificat Umbrella

    Incidence

    Les nouvelles ouvertures de session utilisateur pour SWG échouent, bloquant l'accès à Internet. Cela ne s'applique pas nécessairement à tous les utilisateurs, mais se déclenche lorsque :

    • La session d'un utilisateur expire en raison de notre paramètre de réauthentification (par exemple, tous les jours)
    • Un nouvel utilisateur se connecte
    • Un utilisateur efface le cache du navigateur ou utilise un nouveau navigateur.

    Scénario 1 - Erreur après l'importation du nouveau certificat Umbrella

    Si l'erreur se produit directement après avoir effectué une modification (par exemple, en préparation du renouvellement du certificat d'Umbrella), il est probable qu'une erreur a été commise lors de l'importation du certificat.

    S'assurer que les certificats Umbrella actuels et nouveaux sont importés 

    En préparation du renouvellement du certificat Umbrella met un nouveau certificat à disposition, mais le nouveau certificat n'est pas utilisé pour la signature avant l'expiration.  Par conséquent, votre configuration IdP doit avoir deux certificats répertoriés dans la configuration du fournisseur de services/de la partie de confiance.  Reconfigurer à partir des métadonnées pour résoudre ce problème.

    • Certificat actuel - avec une date d'expiration prochaine
    • Futur certificat - qui est valide pour l'année suivante.

    Assurez-vous que le mappage des revendications d'attribut est correct 

    Si vous avez reconfiguré le fournisseur de services/la partie de confiance, vous devez apporter des modifications supplémentaires à la configuration pour vous assurer que le fournisseur d'identité envoie les attributs dont nous avons besoin pour valider la réponse SAML. C'est le cas avec Microsoft ADFS, où notre carte de revendications doit être recréée.

    Scénario 2 - Erreur après expiration du certificat Umbrella

    Si l'erreur se produit après l'expiration du certificat Umbrella et qu'aucune modification n'a été apportée à l'IdP.

    Assurez-vous que le nouveau certificat a été importé dans le fournisseur d'identités

    Pour résoudre le problème, importez manuellement le nouveau certificat dans votre fournisseur d'identité. Lorsque notre certificat est sur le point d'être renouvelé, le nouveau certificat est mis à disposition dans notre portail Annonces.

    (RECOMMANDÉ) Configurer les mises à jour automatiques des métadonnées 

    Umbrella fournit désormais une URL de métadonnées fixe qui peut être utilisée pour des mises à jour de métadonnées transparentes.  Nous vous recommandons de configurer cette méthode pour empêcher toute action manuelle lors du prochain transfert de certificat.

    Assurez-vous que les adresses de serveur de la liste de révocation de certificats (CRL) sont accessibles au fournisseur d'identité

    Umbrella utilise désormais une autorité de certification différente. Assurez-vous donc que ces adresses CRL/OCSP sont disponibles pour le serveur IdP :

    Microsoft ADFS - Exemple d'importation manuelle de certificats

    Microsoft ADFS est un fournisseur d'identifiants populaire connu pour valider les signatures de demande. Le certificat peut être mis à jour comme suit :

    • Ouvrir la gestion AD FS
    • Développez Fiducies de partie de confiance et localisez le RP pour Umbrella SWG
    • Cliquez avec le bouton droit sur la partie de confiance dans ADFS et sélectionnez Propriétés
    • Téléchargez le nouveau certificat dans l'onglet Signature.
      SWG Properties Check Expiration Dates

    Lorsque la date d'expiration du certificat approche, les métadonnées fournies par Cisco incluent plusieurs certificats pour préparer la substitution transparente. Ne supprimez pas le certificat actuel tant qu'il est encore valide. Cisco continue à signer avec le certificat actuel jusqu'à la date et l'heure d'expiration.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    27-Aug-2025
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits