Introdução
Este documento descreve a solução de problemas de erro de SSO "SAML Assertion Expired" enquanto conectado ao Cisco Webex App/Cisco Webex Control Hub.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Configuração de Logon Único
- Webex Control Hub
- Servidor ADFS e Powershell
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Servidor Windows ADFS 2022
- Webex Control Hub
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Background
Este documento descreve o erro Troubleshooting de Single Sign-On (SSO) "SAML Assertion Expired" (A asserção de SAML expirou) ao entrar no Cisco Webex App/Cisco Webex Control Hub, que se apresenta após inserir a ID de e-mail e concluir o fluxo de SSO.
Note: Esse problema aparece principalmente no Servidor ADFS. Este documento é específico somente para o IdP do AD FS.
Passos de Troubleshooting
- Verifique se você pode fazer logon no Servidor ADFS usando as credenciais de administrador.
- Verifique a mensagem de erro apresentada na tentativa de login. Idealmente, essa é uma correção simples e pode-se passar pela solução direta do problema observando a própria mensagem de erro.
- A mensagem de erro "SAML Assertion Expired" ocorre somente quando a hora do servidor ADFS não corresponde à hora do computador local. Isso requer um comando para corrigir a diferença de horário. No entanto, você pode revisar os logs HAR da máquina local e pode ver a diferença na resposta HAR.
Análise de registros
Você pode verificar o tempo de login e antes/depois nos registros HAR:
Note: O tempo de asserção deve estar entre "Não antes de: 07 de abril de 2025 09:00:37" e o "Não depois: 07 de abril de 2025, horário das 10:00:37 fornecido na resposta SAML".
Not Before: Apr 07 2025 09:00:37
Not After: Apr 07 2025 10:00:37
Assertion Time: Apr 07 2025 09:00:07
Causa raiz
Tempo de asserção: 07 de abril de 2025 09:00:07 não caiu no intervalo de não antes e não depois de fornecido na resposta SAML.
Solução
Execute este comando no PowerShell do Servidor ADFS para resolver o problema:
Set-ADFSRelyingPartyTrust -TargetIdentifier "ID da entidade SP" -NotBeforeSkew 3
Esse comando pode ser diferente para organizações diferentes. A melhor maneira de obter esse comando é usar o ID de entidade SP (Webex) dos metadados SP para sua empresa em vez do URL no comando.
A ID da entidade SP deve estar neste formato: https://idbroker-b-us.webex.com/OrgID.