错误503错误

ADFS/IdS排除故障和常见问题ContentsIntroductionPrerequisitesRequirementsComponentsUsed背景信息可以是方便的在调试的应用程序和日志与调试选项的流程图处理由CiscoIDS的Authcode请求在此进程中遇到的常见错误1.
没完成的客户端注册2.
用户访问应用程序使用IP地址/Alternate主机名SAML由CiscoIDS的请求开始在此进程中遇到的常见错误1.
ADFS元数据没被添加到CiscoIDS处理由ADFS的SAML请求在此进程中遇到的常见错误1.
有AD的FS最新的Cisco身份证的SAML认证.
发送由ADFS的SAML回应在此进程中遇到的常见错误1.
表认证在ADFS没有被启用处理由CiscoIDS的SAML回应在此进程中遇到的常见错误1.
AD在CiscoIDS的FS认证不最晚.
2.
CiscoIDS和ADFS时钟没有同步.
3.
错误的签名算法(SHA256与SHA1)在ADFS4.
没正确地被配置的流出的要求规则5.
流出的要求规则在联盟的ADFS没有正确地被配置6.
没正确地被配置的自定义要求规则7.
对ADFS的许多请求.
8.
没有配置ADFS签署主张和消息.
RelatedInformationIntroductionCisco身份服务(ID)和激活目录联邦服务(ADFS)之间的安全主张标记语言(SAML)交互作用通过浏览器是单一符号核心在(SSO)登录流的.
本文在调试问题将帮助您与在CiscoIDS和ADFS的配置有关,与推荐的行为一起解决他们.
CiscoIDS部署模型产品配置UCCXcoresidentPCCE与CUIC(CiscoUnified智力中心)和LD(实际数据)的共同驻留UCCE与CUIC和LD的共同驻留2k配置的.
独立为4k和12k配置.
PrerequisitesRequirementsCisco建议您了解以下主题:CiscoUnifiedContactCenterExpress(UCCX)版本11.
5或CiscoUnifiedContactCenterEnterpriseRelease11.
5或者被包的联系中心企业(PCCE)版本11.
5如可适用.
qMicrosoftActiveDirectory-在Windows服务器上安装的ADqIdP(身份供应商)-激活目录联邦服务(ADFS)版本2.
0/3.
0qComponentsUsedThisdocumentisnotrestrictedtospecificsoftwareandhardwareversions.
Theinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
背景信息在信任关系被建立在CiscoIDS和ADFS之间(请参阅这里关于详细资料,普通为UCCX和UCCE)后,管理员预计运行测试在Settings页的SSO设置身份服务管理保证在CiscoIDS和ADFS之间的配置良好工作.
如果测试失败,请使用产生的适当应用程序和建议在此指南解决问题.
可以是方便的在调试的应用程序和日志应用程序/日志详细资料在哪里查找工具CiscoIDS日志CiscoIDS日志记录器将记录在CiscoIDS发生的所有错误.
请使用RTMT获得Ci阅,指导使用RTMT请注意:RTMT名字是Cisco身份Service>日Fedlet日志Fedlet日志将给予关于在CiscoIDS发生的所有SAML错误的更多详细资料请使用RTMT获得FeFedlet日志的位置同fedlet日志从前缀fedCiscoIDSAPI权值API权值可以用于查找到和验证CiscoIDSAPI可能返回了的所有由CiscoIDS处理请求的错误和编号请使用RTMT获得AP请注意:RTMT名字是这将出现在一个独立authorize_metrics.
cs在ADFS的事件浏览器允许用户查看事件登陆系统.
在ADFS的任何错误,当处理SAML请求/发送SAML回应将被记录这里时.
在ADFS机器中,请>AdDFS2.
0>Adm在Windows2008,生>Administrative的事在Windows2012,请在哪里请查看您的窗SAML查看器SAML查看器在查看将帮助被发送从/至CiscoIDS的SAML请求和回应.
此浏览器应用程序为请求/响应对SAML的分析是非常有用的.
这些是您能使用查看提琴手如何以1.
SAML跟踪程序2.
SAML镀铬物面3.
与调试选项的流程图SSO认证的多种步骤在每个步骤的镜像与一起和调试人工制品显示在故障的情况下在该步骤的一个故障.
此表给予关于怎样的详细资料识别故障在每个步骤在浏览器的SSO.
不同的工具,并且如何请能他们在调试帮助指定.
步骤如何识别在浏览器的故障工具/日志处理由CiscoIDS的AuthCode请求在故障的情况下,浏览器没有重定向对SAML终端或ADFS,JSON错误由CiscoIDS显示,表明客户端ID或重定向URL无效.
CiscoIDS日志指示生成的错误理时.
CiscoIDSAPI权值-指示被处理SAML由CiscoIDS的请求开始在故障期间,浏览器没有重定向对ADFS,并且错误页/消息将由CiscoIDS表示.
CiscoIDS日志指示是否有例外CiscoIDSAPI权值-指示被处理处理由ADFS的SAML请求所有疏忽处理此请求将导致ADFS服务器显示的错误页而不是登录页.
在ADFS的事件浏览器指示生插件SAML的浏览器-看到被发发送SAML回应由ADFS在有效证件被提交后,所有疏忽发送回应导致ADFS服务器显示的错误页.
在ADFS的事件浏览器-指示生处理由CiscoIDS的SAML回应CiscoIDS将显示与错误原因和快速检查页的一个500错误.
在ADFS的事件浏览器-,如果一个成功的状态码,指示错误插件SAML的浏览器-看到SAM是错误的.
CiscoIDS日志-指示错误/例外CiscoIDSAPI权值-指示被处理处理由CiscoIDS的Authcode请求起始点SSO登录,就CiscoIDS而言,是要求从SSO被启用的应用程序的授权码.
API请求验证完成检查它是否是自一个注册的客户端的一个请求.
成功验证导致重定向对CiscoIDSSAML终端的浏览器.
在请求验证的所有故障导致从CiscoIDSpage/JSON(Javascript对象符号)被退还的错误.
在此进程中遇到的常见错误1.
没完成的客户端注册问题汇总登录请求失效与401在浏览器的错误.
错误消息浏览器:401与此消息的错误:{error:"invalid_client","error_description":"无效ClientId.
"}CiscoIDS日志:2016-09-0200:16:58.
604IST(+0530)[IdSEndPoints-51]com.
cisco.
ccbu.
idsIdSConfigImpl.
java:12org.
apache.
oltu.
oauth2.
common.
exception.
OAuthProblemException.
error(OAuthProblemException.
ja可能的原因客户端注册用CiscoIDS不完成.
推荐的行为连接到CiscoIDS管理控制台并且确认客户端是否成功注册.
否则,请在继续进行然后注册客户2.
用户访问应用程序使用IP地址/Alternate主机名问题汇总登录请求失效与401在浏览器的错误.
错误消息浏览器:401与此消息的错误:{error:"invalid_redirectUri","error_description":"Invlalid重定向Uri"}可能的原因用户访问应用程序使用IP地址/Alternate主机名.
在SSO模式下,如果使用IP,应用程序被获取,它不工作.
应该由主机名获取应用程序-由哪些IDS注册.
此问题能发生,如果用户访问了没有向CiscoIDS登记的一个备选主机名.
推荐的行为连接到CiscoIDS管理控制台并且确认同样用于访问应用程序的客户端是否向正确的重定向URLSAML由CiscoIDS的请求开始CiscoIDSSAML终端是SAML流的起始点在SSO基于登录的.
交互作用的开始CiscoIDS和ADFS之间的在此步骤被触发.
这里前提是CiscoIDS应该认识ADFS连接对,当应该加载对应的IdP元数据到此步骤的CiscoIDS能成功.
在此进程中遇到的常见错误1.
ADFS元数据没被添加到CiscoIDS问题汇总登录请求失效与503在浏览器的错误.
错误消息浏览器:503与此消息的错误:{error:"service_unavailable","error_description":"SAML元数据没有化"}可能的原因Idp元数据不是可用的在CiscoIDS.
在CiscoIDS和ADFS之间的信任建立不完成.
推荐的行为连接到CiscoIDS管理控制台并且检查ID是否在没被配置的状态.
确认,如果IdP元数据被加载.
否则,请加载从ADFS下载的IdP元数据.
欲了解更详细的信息请参阅这里.
处理由ADFS的SAML请求SAML请求处理是在ADFS的第一步在SSO流.
CiscoIDS发送的SAML请求由在此步骤的ADFS读,验证并且解密.
成功处理此请求导致两个方案:如果它是在浏览器的新登录,ADFS显示登录表.
如果它是一个已经认证的用户的relogin从一次现有的浏览器会话的,ADFS尝试直接地退还SAML回应.
1.
Note:主要前提对于此步骤是为了ADFS能安排回复的当事人信任被配置.
在此进程中遇到的常见错误1.
有AD的FS最新的Cisco身份证的SAML认证.
问题汇总不显示AD的FS登录页,反而显示错误页.
错误消息浏览器ADFS显示错误页类似于此:有访问站点的问题.
设法再访问到站点.
如果问题持续,与此站点的管理员联系并且提供参考编号识别问题.
参考编号:1ee602be-382c-4c49-af7a-5b70f3a7bd8eADFS事件浏览器联邦服务遇到错误,当处理SAML认证请求时.
其它数据Microsoft.
IdentityModel.
Protocols.
XmlSignature.
SignatureVerificationFailedExceptionMSIS0038Microsoft.
IdentityServer.
Protocols.
Saml.
Contract.
SamlContractUtility.
CreateSamlMessage(MSISMicrosoft.
IdentityServer.
Service.
SamlProtocol.
SamlProtocolService.
CreateErrorMessage(createCreateErrorMessageRequest)Microsoft.
IdentityServer.
Service.
SamlProtocol.
SamlProtocolService.