Introduzione
In questo documento viene descritto l'errore di risoluzione dei problemi di SSO "SAML Assertion Expired" durante l'accesso a Cisco Webex App/Cisco Webex Control Hub.
Prerequisiti
Requisito
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Configurazione Single Sign-On
- Webex Control Hub
- Server ADFS e PowerShell
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Windows ADFS server 2022
- Webex Control Hub
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Introduzione
In questo documento viene descritto l'errore "Asserzione SAML scaduta" relativo alla risoluzione dei problemi di Single Sign-On (SSO) durante l'accesso a Cisco Webex App/ Cisco Webex Control Hub, che si presenta dopo aver immesso l'ID e-mail e completato il flusso SSO.
Nota: Questo problema si verifica principalmente sul server ADFS. Questo documento è specifico solo per l'IdP ADFS.
Procedura di risoluzione dei problemi
- Assicurarsi di essere in grado di accedere al server ADFS utilizzando le credenziali di amministratore.
- Verificare la presenza del messaggio di errore presentato nel tentativo di accesso. Idealmente, si tratta di una semplice soluzione che consente di risolvere direttamente il problema esaminando il messaggio di errore stesso.
- Il messaggio di errore "Asserzione SAML scaduta" viene visualizzato solo quando l'ora del server ADFS non corrisponde all'ora del computer locale. Per correggere la differenza di tempo, è necessario un comando. Tuttavia, è possibile esaminare i registri HAR dal computer locale e si può vedere la differenza nella risposta HAR.
Analisi log
È possibile controllare l'ora di accesso e l'ora precedente/successiva nei log HAR:
Nota: Il tempo di asserzione deve essere compreso tra "Non prima: apr 07 2025 09:00:37" e la dicitura "Non dopo: Apr 07 2025 10:00:37 tempo indicato nella risposta "SAML".
Not Before: Apr 07 2025 09:00:37
Not After: Apr 07 2025 10:00:37
Assertion Time: Apr 07 2025 09:00:07
Causa principale
Ora dell'asserzione: 07 apr 2025 09:00:07 non rientrava nell'intervallo di non prima e non dopo fornito nella risposta SAML.
Soluzione
Eseguire questo comando sul server ADFS PowerShell per risolvere il problema:
Set-ADFSRelyingPartyTrust -TargetIdentifier "ID entità SP" -NotBeforeSkew 3
Questo comando può essere diverso per organizzazioni diverse. Il modo migliore per ottenere questo comando è utilizzando l'ID entità SP (Webex) dai metadati SP per l'organizzazione al posto dell'URL nel comando.
L'ID entità SP deve essere nel seguente formato: https://idbroker-b-us.webex.com/OrgID.