أستكشاف أخطاء تكامل UCCE SSO وإصلاحها باستخدام Azure IDp

المقدمة

يوضح هذا المستند كيفية أستكشاف أخطاء بعض المشاكل الشائعة التي تواجه أثناء تنفيذ تكامل UCCE SSO مع Microsoft Azure IDp وإصلاحها.

تمت المساهمة من قبل Anurag Atul Agarwal، مهندس TAC من Cisco.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• لغة ترميز تأكيد الأمان (SAML) 2.0
• UCCE/PCCE للمؤسسات لمراكز الاتصال الموحدة/المجمعة من Cisco
• تسجيل دخول أحادي (SSO)
• خدمة الهوية (IDs) من Cisco
• موفر الهوية (IDp)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Azure IDp
• UCCE 12.0.1
• معرفات Cisco، الإصدار 12.0.1

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يصف هذا المستند بعض المشاكل الشائعة التي تواجه أثناء تكامل خدمة الهوية (IDs) من Cisco وموفر الهوية (IDp) ل SSO المستندة إلى Azure وإصلاحاتها المحتملة.  يوصى دائما بتجميع هذه السجلات لاستكشاف المشاكل المتعلقة بتكامل SSO وإصلاحها:

• سجلات معرفات Cisco: إرتباط بالتجميع: سجلات IDS
  
• سجلات وحدة تحكم المستعرض
• أي سجلات من IdP

المشكلة: الشهادة غير متطابقة

يفشل إختبار SSO مع الرسالة 'لم تتمكن المعرفات من معالجة إستجابة SAML على الرغم من أن المصادقة كانت ناجحة' وتطبع سجلات المعرفات رسالة الخطأ: "فشلت معالجة إستجابة SAML مع إستثناء com.sun.identity.saml2.common.SAML2Exception: شهادة التوقيع لا تطابق ما تم تعريفه في بيانات تعريف الكيان'"

الحل

تحقق من الشهادة وتعيين خوارزمية التوقيع في Azure. تأكد من مطابقته مع خوارزمية التجزئة المدعومة استنادا إلى إصدار المعرفات. ارجع إلى الفصل تسجيل الدخول الأحادي" في دليل الميزات وتحقق من خوارزمية التجزئة الآمنة المدعومة. قم بتنزيل أحدث ملف بيانات تعريف IDp وتحميله إلى معرفات Cisco من خلال واجهة مستخدم إدارة خدمة الهوية.

المشكلة: AADSTS900235 - مشكلة سياق المصادقة

تتم إعادة توجيه إختبار SSO إلى صفحة Microsoft ويفشل في الرسالة: عذرا، نواجه مشكلة في تسجيل دخولك.
AADSTS900235: يجب أن تكون قيمة مقارنة RequestedAuthenticationContext الخاصة بطلب مصادقة SAML دقيقة. القيمة المستلمة: الحد الأدنى

الحل

قد يلزم ضبط AuthContext كما هو موضح في الخطأ CSCvm69290 . يرجى الاتصال ب Cisco TAC لإجراء الحل البديل في المعرفات.

المشكلة: لم يتم توقيع إستجابة SAML

فشل إختبار SSO مع الرسالة، لم تتمكن المعرفات من معالجة إستجابة SAML على الرغم من أن المصادقة كانت ناجحة' وتطبع سجلات المعرفات رسالة الخطأ: "فشلت معالجة إستجابة SAML مع إستثناء com.sun.identity.saml2.common.SAML2Exception: لم يتم توقيع الاستجابة.

الحل

يحتاج Azure IdP إلى إرسال تأكيد موقع إلى المعرفات. تعديل إعداد Azure للحصول على خيار التوقيع: توقيع إستجابة SAML وتأكيدها

المشكلة: إصدار قواعد المطالبات

فشل إختبار SSO مع خطأ تكوين الرسالة 'IdP: فشلت معالجة SAML. تعذر إسترداد مدير المستخدم من إستجابة SAML.' وتطبع سجلات IdS رسالة الخطأ: "فشلت معالجة إستجابة SAML مع إستثناء com.sun.identity.saml.common.SAMLException: تعذر إسترداد مدير المستخدم من إستجابة SAML.

الحل

يشير هذا الخطأ إلى خطأ في 'أسماء المطالبات' التي تم تكوينها في Azure. قد يحدث هذا مع سمات أخرى مثل UID و NameID وما إلى ذلك، ويتم إنشاء أخطاء مماثلة مع أسماء سمات مختلفة. لحل هذه المشكلة، حدد موقع أي سمة في Azure بهذا التنسيق، 'schemas.xmlsoap.org/ws/2005/05/identity/claims/<attribute_name>'. قم بإزالة كل شيء قبل اسم السمة الفعلي.

يوفر هذا القسم مثال تكوين ADFS في دليل الميزات ويحتاج إلى النسخ المتماثل في Azure.

تكوين مثال ADFS

المشكلة: AADSTS50011 - عنوان URL للرد غير مطابق

قم باختبار عمليات إعادة توجيه SSO إلى صفحة Microsoft وفشلت في الرسالة: عذرا، نواجه مشكلة في تسجيل دخولك.
AADSTS50011: لا يتطابق URL الخاص بالرد المحدد في الطلب مع URL الخاص بالرد الذي تم تكوينه للتطبيق

الحل

الرجاء الاتصال ب Cisco TAC. يلزم التحقق من المعلمة 'Confirmation Consumer Service' في الجذر في عقدة IdS حيث يفشل هذا. إذا كانت المعلمة صحيحة، يجب على Microsoft Azure أستكشاف هذه المشكلة وإصلاحها.