Introducción
Este documento describe un problema en el que recibe un mensaje de error "HTTP Status 401" después de un período de inactividad cuando utiliza Single Sign-On (SSO).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- SSO
- Servicio de federación de Active Directory (AD FS)
- CloudCenter
Componentes Utilizados
Este documento no se limita a una versión específica de software o de hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Problema
Cuando utiliza SSO, puede recibir un error "401" después de un período de inactividad, en lugar de un mensaje para volver a iniciar sesión como se muestra en la imagen.
La única forma de volver a iniciar sesión es cerrar el explorador web completo y reabrirlo.
Solución
Esto se debe a una discordancia en los valores de tiempo de espera entre CloudCenter y el servidor SSO.
Una mejora permite la compatibilidad con los parámetros ForceAuthn, lo que puede permitir una discordancia entre los dos valores y CloudCenter para cerrar la sesión correctamente. Esta mejora puede seguirse aquí https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvg36752.
La única solución alternativa es eliminar la discordancia. Hay tres ubicaciones donde los valores de tiempo de espera deben coincidir. Los dos primeros están en el CCM mismo.
- Navegue hasta /usr/local/tomcat/webapps/ROOT/WEB-INF/web.xml.
- Modifique <session-timeout>time_In_Minutes</session-timeout> para reflejar el tiempo de espera deseado en minutos.
- Navegue hasta /usr/local/tomcat/webapps/ROOT/WEB-INF/mgmt.properties.
- Modifique saml.maxAuthenticationAge.seconds=timeout_in_seconds para reflejar el tiempo de espera deseado en segundos.
La tercera se encuentra en el servidor SSO y la ubicación puede variar según el tipo de servidor SSO que se esté ejecutando. El valor de vida de SSO web debe coincidir con los dos valores configurados en CloudCenter.
Una vez que los tres coinciden, cuando se ha agotado el tiempo de espera, se le devuelve a la pantalla de inicio de sesión antes de que se le permita ver la página.