Solucionar problemas de erro UPN não configurado após a renovação do certificado Umbrella no SWG SAML

Opções de download

  • PDF     (294.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (147.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (181.3 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:27 de agosto de 2025
ID do documento:224690

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como resolver um erro "UPN não configurado" após renovar o certificado de assinatura Umbrella SAML.

    Overview

    "UPN não configurado" é um erro genérico que pode ocorrer por vários motivos. Uma causa em potencial está relacionada à expiração do certificado de assinatura Umbrella SAML, que é renovado anualmente. Para obter os detalhes mais recentes sobre a expiração do certificado, leia nosso portal de Anúncios.

    Se o certificado Umbrella expirar e você não tiver tomado nenhuma ação, os usuários serão bloqueados do acesso à Internet com estes erros em potencial:

    • Erro "UPN não configurado" com marca guarda-chuva ao navegar na Web através do SWG
    • Algum outro erro apresentado pelo seu provedor de identidade

    UPN is Not Configured Error

    Este artigo discute dois cenários diferentes que causam o erro:

    • Cenário 1 - Erro após a importação do novo Certificado Umbrella


    • Cenário 2 - Erro após a expiração do certificado do Umbrella

    Impacto

    Novos logons de usuário para SWG falham, bloqueando o acesso à Internet. Isso não se aplica necessariamente a todos os usuários, mas é acionado quando:

    • A sessão de um usuário expira devido à nossa configuração de reautenticação (por exemplo, diariamente)
    • Um novo usuário faz logon
    • Um usuário limpa o cache do navegador ou usa um novo navegador.

    Cenário 1 - Erro após a importação do novo Certificado Umbrella

    Se o erro ocorrer diretamente após uma alteração (por exemplo, em preparação para a renovação do certificado da Umbrella), é provável que tenha sido cometido um erro com a importação do certificado.

    Verifique se os certificados atuais e novos do Umbrella foram importados 

    Em preparação para a renovação do certificado, a Umbrella disponibiliza um novo certificado, mas o novo certificado não é usado para assinatura até o tempo de expiração.  Portanto, sua configuração de IdP deve ter dois certificados listados na configuração do provedor de serviços/terceira parte confiável.  Reconfigure a partir de metadados para resolver isso.

    • Certificado atual - Com uma data de expiração próxima
    • Certificado futuro - Válido para o próximo ano.

    Verifique se o mapa de Declarações de Atributo está correto 

    Se você reconfigurou o provedor de serviços/terceira parte confiável, será necessário fazer alterações adicionais na configuração para garantir que o IdP esteja enviando os atributos necessários para validar a resposta SAML. Isso é comum com o Microsoft ADFS, em que nosso mapa de solicitações precisa ser recriado.

    Cenário 2 - Erro após a expiração do certificado do Umbrella

    Se o erro ocorrer após a expiração do certificado Umbrella e nenhuma alteração tiver sido feita no IdP.

    Verifique se o novo certificado foi importado para o Provedor de Identidade

    Para resolver o problema Importe manualmente o novo certificado para o seu provedor de identidade. Quando o certificado estiver se aproximando da renovação, o novo certificado será disponibilizado em nosso portal de Anúncios.

    (RECOMENDADO) Configurar atualizações automáticas de metadados 

    Agora, o Umbrella oferece uma URL de metadados fixa que pode ser usada para atualizações de metadados contínuas.  É recomendável configurar esse método para impedir a ação manual durante a próxima substituição de certificado.

    Verifique se os endereços de servidor da Lista de Certificados Revogados (CRL) estão acessíveis ao Provedor de Identidade

    O Umbrella agora usa uma Autoridade de Certificação diferente, portanto, verifique se os endereços CRL/OCSP estão disponíveis para o servidor IdP:

    Microsoft ADFS - Exemplo de Importação Manual de Certificado

    O Microsoft ADFS é um IdP popular, conhecido por validar assinaturas de solicitação. O certificado pode ser atualizado da seguinte maneira:

    • Abrir o gerenciamento do AD FS
    • Expanda Confiança da terceira parte confiável e localize o RP para Umbrella SWG
    • Clique com o botão direito do mouse na Terceira Parte Confiável no ADFS e selecione Propriedades
    • Carregue o novo certificado na guia Signing
      SWG Properties Check Expiration Dates

    Ao se aproximar da data de expiração do certificado, os metadados fornecidos pela Cisco incluem vários certificados para se preparar para a transferência contínua. Não exclua o certificado atual enquanto ele ainda estiver válido. A Cisco continua assinando com o certificado atual até a data/hora de expiração.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    27-Aug-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos