Inleiding
In dit document wordt beschreven hoe de foutmelding "SAML Assertion Expired" (SAML-bevestiging is verlopen) wordt opgelost wanneer u bent aangemeld bij Cisco Webex App/Cisco Webex Control Hub.
Voorwaarden
eis
Cisco raadt kennis van de volgende onderwerpen aan:
- Configuratie met enkelvoudige aanmelding
- Webex-besturingshub
- ADFS Server en Powershell
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Windows ADFS Server 2022
- Webex-besturingshub
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrond
In dit document wordt de fout "SAML Assertion Expired" (SAML-bevestiging verlopen) beschreven bij het oplossen van problemen bij het aanmelden bij Cisco Webex App/Cisco Webex Control Hub, dat zich aandient na het invoeren van de e-mail-ID en het voltooien van de SSO-stroom.
Opmerking: dit probleem wordt meestal weergegeven op ADFS Server. Dit document is alleen specifiek voor ADFS IdP.
Stappen voor probleemoplossing
- Zorg ervoor dat u zich kunt aanmelden bij ADFS Server met de beheerdersreferenties.
- Controleer of er een foutmelding wordt weergegeven bij de aanmeldingspoging. Idealiter is dit een eenvoudige oplossing en kan men door middel van directe probleemoplossing van het probleem te kijken naar de foutmelding zelf.
- De foutmelding "SAML Assertion Expired" treedt alleen op wanneer de ADFS-servertijd niet overeenkomt met de lokale systeemtijd. Hiervoor is een commando nodig om het tijdsverschil op te lossen. U kunt echter de HAR-logs bekijken vanaf de lokale machine en u kunt het verschil zien in de HAR-respons.
Logs-analyse
U kunt controleren op aanmeldingstijd en voor / na tijd in de HAR-logs:
Opmerking: De beweringstijd moet vallen tussen "Niet eerder: Apr 07 2025 09:00:37" en de "Niet na: Apr 07 2025 10:00:37 tijd verstrekt in de SAML" reactie.
Not Before: Apr 07 2025 09:00:37
Not After: Apr 07 2025 10:00:37
Assertion Time: Apr 07 2025 09:00:07
Hoofdoorzaak
Beweringstijd: Apr 07 2025 09:00:07 viel niet in het bereik van niet eerder en niet na in de SAML-respons.
Oplossing
Voer deze opdracht uit op de ADFS Server PowerShell om het probleem op te lossen:
Set-ADFSRelyingPartyTrust -TargetIdentifier "SP Entity ID" -NotBeforeSkew 3
Dit commando kan voor verschillende organisaties verschillend zijn. De beste manier om deze opdracht te krijgen is door de SP (Webex) entiteit-ID van de SP-metagegevens voor uw org te gebruiken in plaats van de URL in de opdracht.
SP Entity ID moet in dit formaat zijn: https://idbroker-b-us.webex.com/OrgID.