SWG SAML中Umbrella证书续订后UPN未配置错误故障排除

简介

本文档介绍如何在续订Umbrella SAML签名证书后解决“UPN not configured”错误。

概述

“UPN not configured”是常见错误，可能由于多种原因而发生。一个潜在原因与Umbrella SAML签名证书过期有关，该证书每年续订。有关证书过期的最新详细信息，请阅读我们的公告门户。

如果Umbrella证书过期，而您尚未采取行动，则会阻止用户访问Internet，但可能会出现以下错误：

• 通过SWG浏览Web时，出现Umbrella品牌的“UPN Not Configured”错误
• 身份提供程序显示的其他一些错误

本文讨论导致此错误的两种不同场景：

• 场景1 -导入新的Umbrella证书后出错
  
  
  

• 场景2 - Umbrella证书到期后出错

影响

SWG的新用户登录失败，阻止互联网访问。这不一定适用于所有用户，但会在以下情况下触发：

• 用户的会话由于我们的重新身份验证设置而过期（例如，每日）
• 新用户登录
• 用户清除浏览器缓存或使用新浏览器。

场景1 — 导入新的Umbrella证书后出错

如果错误直接发生在进行更改之后（例如，为Umbrella的证书续订做准备），则很可能错误地导入了证书。

确保导入当前和新的Umbrella证书 

在准备证书续订时，Umbrella会提供新证书，但新证书在到期之前不会用于签名。  因此，您的IdP配置必须在服务提供商/信赖方配置中列出两个证书。  从元数据重新配置元数据以解决此问题。

• 当前证书 — 即将到期
• 未来证书 — 对下一年度有效。

确保属性声明映射正确 

如果您已重新配置服务提供商/信赖方，您需要进行其他配置更改，以确保IdP正在发送验证SAML响应所需的属性。这在Microsoft ADFS中很常见，需要重新创建我们的领款申请映射。

场景2 - Umbrella证书到期后出错

如果在Umbrella证书过期后发生此错误，并且未对IdP进行任何更改。

确保新证书已导入到身份提供程序

若要解决此问题，请手动将新证书导入到您的身份提供程序中。当我们的证书即将续订时，新证书将在我们的公告门户中提供。

（推荐）配置自动元数据更新 

Umbrella现在提供了一个固定的元数据URL，可用于无缝的元数据更新。  我们建议将此方法配置为防止在下次证书滚动更新期间进行手动操作。

确保身份提供程序可以访问证书吊销列表(CRL)服务器地址

Umbrella现在使用不同的证书颁发机构，因此请确保这些CRL/OCSP地址可用于IdP服务器：

• http://validation.identrust.com
• http://commercial.ocsp.identrust.com

Microsoft ADFS — 手动证书导入示例

Microsoft ADFS是已知用于验证请求签名的常用IdP。证书可以按如下方式更新：

• 打开AD FS管理
• 展开信赖方信任并查找Umbrella SWG的RP
• 右键单击ADFS中的信赖方，然后选择属性
• 在签名选项卡上上传新证书
  

当证书到期日期临近时，思科提供的元数据包含多个证书，用于无缝滚动更新。当前证书仍然有效时，请勿将其删除。思科继续使用当前证书进行签名，直到到期日期/时间。