Introdução
Este documento descreve como resolver um erro "UPN não configurado" após renovar o certificado de assinatura Umbrella SAML.
Overview
"UPN não configurado" é um erro genérico que pode ocorrer por vários motivos. Uma causa em potencial está relacionada à expiração do certificado de assinatura Umbrella SAML, que é renovado anualmente. Para obter os detalhes mais recentes sobre a expiração do certificado, leia nosso portal de Anúncios.
Se o certificado Umbrella expirar e você não tiver tomado nenhuma ação, os usuários serão bloqueados do acesso à Internet com estes erros em potencial:
- Erro "UPN não configurado" com marca guarda-chuva ao navegar na Web através do SWG
- Algum outro erro apresentado pelo seu provedor de identidade

Este artigo discute dois cenários diferentes que causam o erro:
Impacto
Novos logons de usuário para SWG falham, bloqueando o acesso à Internet. Isso não se aplica necessariamente a todos os usuários, mas é acionado quando:
- A sessão de um usuário expira devido à nossa configuração de reautenticação (por exemplo, diariamente)
- Um novo usuário faz logon
- Um usuário limpa o cache do navegador ou usa um novo navegador.
Cenário 1 - Erro após a importação do novo Certificado Umbrella
Se o erro ocorrer diretamente após uma alteração (por exemplo, em preparação para a renovação do certificado da Umbrella), é provável que tenha sido cometido um erro com a importação do certificado.
Verifique se os certificados atuais e novos do Umbrella foram importados
Em preparação para a renovação do certificado, a Umbrella disponibiliza um novo certificado, mas o novo certificado não é usado para assinatura até o tempo de expiração. Portanto, sua configuração de IdP deve ter dois certificados listados na configuração do provedor de serviços/terceira parte confiável. Reconfigure a partir de metadados para resolver isso.
- Certificado atual - Com uma data de expiração próxima
- Certificado futuro - Válido para o próximo ano.
Verifique se o mapa de Declarações de Atributo está correto
Se você reconfigurou o provedor de serviços/terceira parte confiável, será necessário fazer alterações adicionais na configuração para garantir que o IdP esteja enviando os atributos necessários para validar a resposta SAML. Isso é comum com o Microsoft ADFS, em que nosso mapa de solicitações precisa ser recriado.
Cenário 2 - Erro após a expiração do certificado do Umbrella
Se o erro ocorrer após a expiração do certificado Umbrella e nenhuma alteração tiver sido feita no IdP.
Verifique se o novo certificado foi importado para o Provedor de Identidade
Para resolver o problema Importe manualmente o novo certificado para o seu provedor de identidade. Quando o certificado estiver se aproximando da renovação, o novo certificado será disponibilizado em nosso portal de Anúncios.
(RECOMENDADO) Configurar atualizações automáticas de metadados
Agora, o Umbrella oferece uma URL de metadados fixa que pode ser usada para atualizações de metadados contínuas. É recomendável configurar esse método para impedir a ação manual durante a próxima substituição de certificado.
Verifique se os endereços de servidor da Lista de Certificados Revogados (CRL) estão acessíveis ao Provedor de Identidade
O Umbrella agora usa uma Autoridade de Certificação diferente, portanto, verifique se os endereços CRL/OCSP estão disponíveis para o servidor IdP:
Microsoft ADFS - Exemplo de Importação Manual de Certificado
O Microsoft ADFS é um IdP popular, conhecido por validar assinaturas de solicitação. O certificado pode ser atualizado da seguinte maneira:
- Abrir o gerenciamento do AD FS
- Expanda Confiança da terceira parte confiável e localize o RP para Umbrella SWG
- Clique com o botão direito do mouse na Terceira Parte Confiável no ADFS e selecione Propriedades
- Carregue o novo certificado na guia Signing

Ao se aproximar da data de expiração do certificado, os metadados fornecidos pela Cisco incluem vários certificados para se preparar para a transferência contínua. Não exclua o certificado atual enquanto ele ainda estiver válido. A Cisco continua assinando com o certificado atual até a data/hora de expiração.