"HTTP Status 401 - Falha na autenticação: Erro ao validar mensagem SAML" quando você usa SSO

Opções de download

  • PDF     (93.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (97.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (118.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:11 de Dezembro de 2017
ID do documento:212542

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve um problema em que você recebe uma mensagem de erro "Status HTTP 401" após um período de inatividade quando você usa SSO (Single Sign-On, logon único).

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • SSO
    • Serviço de Federação do Ative Diretory (AD FS)
    • CloudCenter

    Componentes Utilizados

    Este documento não é restrito a versões de software ou hardware específicas.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

      

    Problema

    Quando você usa o SSO, pode receber um erro "401" após um período de inatividade, em vez de um prompt para fazer logon novamente, como mostrado na imagem.

    A única maneira de você poder fazer login novamente é fechar o navegador da Web inteiro e reabri-lo.

    Solução

    Isso é causado por uma incompatibilidade nos valores de tempo limite entre o CloudCenter e o servidor SSO.

    Um aprimoramento permite que os parâmetros ForceAuthn suportem, o que pode permitir uma incompatibilidade entre os dois valores e que o CloudCenter faça logoff com facilidade. Esta melhoria pode ser controlada aqui https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvg36752.

    A única solução alternativa é remover a incompatibilidade. Há três locais onde os valores de tempo limite precisam ser iguais. Os dois primeiros estão no próprio CCM.

    1. Navegue até /usr/local/tomcat/webapps/ROOT/WEB-INF/web.xml.
    2. Modifique o <session-timeout>time_In_minutes</session-timeout> para refletir o tempo limite desejado em minutos.
    3. Navegue até /usr/local/tomcat/webapps/ROOT/WEB-INF/mgmt.properties.
    4. Modifique o saml.maxAuthenticationAge.seconds=timeout_in_seconds para refletir o tempo limite desejado em segundos. 

    O terceiro está no servidor SSO e o local pode variar, dependendo do tipo de servidor SSO em execução. O valor de tempo de vida do SSO da Web deve corresponder aos dois valores configurados no CloudCenter.

    Quando todas as três coincidirem, quando o tempo limite tiver ocorrido, você será removido de volta para a tela de login antes de ter permissão para visualizar a página.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Jesse Lafuenti
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos