在SWG SAML中，對Umbrella證書續訂後的UPN Not Configured錯誤進行故障排除

簡介

本文說明如何在續訂Umbrella SAML簽名證書後解決「UPN not configured」錯誤。

概觀

「UPN not configured」是一個因多種原因而發生的常規錯誤。一個潛在原因與Umbrella SAML簽名證書過期有關，該證書每年續訂。有關證書過期的最新詳細資訊，請閱讀我們的公告門戶。

如果Umbrella證書到期而您尚未採取行動，則會阻止使用者訪問Internet，並可能出現以下錯誤：

• 通過SWG瀏覽Web時出現Umbrella品牌的「UPN Not Configured」錯誤
• 身份提供程式呈現的其他一些錯誤

本文討論導致此錯誤的兩種不同方案：

• 場景1 — 匯入新的Umbrella證書後出錯
  
  
  

• 案例2 - Umbrella憑證到期後錯誤

影響

SWG的新使用者登入失敗，阻止網際網路訪問。這並不一定適用於所有使用者，但會在以下情況下觸發：

• 使用者的會話由於我們的重新身份驗證設定而過期（例如，每日）
• 新使用者登入
• 使用者清除瀏覽器快取或使用新瀏覽器。

場景1 — 匯入新的Umbrella證書後出錯

如果錯誤直接發生在進行更改之後（例如，為準備Umbrella的證書續訂），則很可能是因為證書匯入錯誤。

確保同時匯入當前和新的Umbrella證書 

在準備證書續訂時，Umbrella使新證書可用，但在到期時間之前，新證書不會用於簽名。  因此，您的IdP配置必須在服務提供商/信賴方配置中列出兩個證書。  從後設資料重新配置以解決此問題。

• 當前證書 — 即將到期
• Future Certificate — 對下一年度有效。

確保屬性宣告對映正確 

如果您已重新配置服務提供商/信賴方，則需要執行其他配置更改以確保IdP正在傳送驗證SAML響應所需的屬性。這在Microsoft ADFS中很常見，需要重新建立我們的理賠對映。

案例2 - Umbrella憑證到期後發生錯誤

如果在Umbrella證書過期後發生此錯誤，並且未對IdP進行任何更改。

確保已將新證書匯入到身份提供程式

若要解決此問題，請手動將新證書匯入到您的身份提供程序。當我們的證書即將續訂時，我們的公告門戶中會提供新證書。

（建議）配置自動後設資料更新 

Umbrella現在提供了一個固定的後設資料URL，可用於無縫的後設資料更新。  建議將此方法配置為防止在下次證書滾動更新期間手動操作。

確保身份提供程式可以訪問證書吊銷清單(CRL)伺服器地址

Umbrella現在使用不同的證書頒發機構，從而確保這些CRL/OCSP地址可用於IdP伺服器：

• http://validation.identrust.com
• http://commercial.ocsp.identrust.com

Microsoft ADFS — 手動證書匯入示例

Microsoft ADFS是一個常用的IdP，用於驗證請求簽名。可以按如下方式更新證書：

• 開啟AD FS管理
• 展開信賴方信任，並找到Umbrella SWG的RP
• 按一下右鍵ADFS中的信賴方，然後選擇屬性
• 在Signing索引標籤上傳新憑證
  

在證書到期日期臨近時，思科提供的後設資料包含多個證書，為無縫滾動做好準備。當前證書仍然有效時不要將其刪除。思科使用當前證書繼續簽名，直到到期日期/時間。