Żądanie wylogowania SAML nie powiodło się, ponieważ certyfikat szyfrowania dla relacji zaufania dostawcy oświadczeń jest nieprawidłowy.
Oto możliwe przyczyny tego zdarzenia:
Certyfikat został odwołany.
Nie można było zweryfikować łańcucha certyfikatów zgodnie z ustawieniami odwoływania certyfikatu szyfrowania dla tej relacji zaufania dostawcy oświadczeń.
Certyfikat jest używany poza swoim okresem ważności.
Notatka
Ustawienia odwoływania certyfikatu szyfrowania relacji zaufania dostawcy oświadczeń można skonfigurować przy użyciu poleceń cmdlet programu Windows PowerShell dla usług AD FS. Do skonfigurowania tego konkretnego ustawienia służy parametr EncryptionCertificateRevocationCheck polecenia cmdlet Set-ADFSClaimsProviderTrust.
Oto możliwe rozwiązania dla tego zdarzenia:
Upewnij się, że certyfikat szyfrowania relacji zaufania dostawcy oświadczeń był ważny i nieodwołany.
Upewnij się, że usługi AD FS mogą uzyskać dostęp do listy odwołania certyfikatów, gdy ustawieniem odwołania nie jest „none” (brak) ani „cache only” (tylko pamięć podręczna).
Sprawdź ustawienia serwera proxy dla protokołu HTTP. Więcej informacji o sposobie sprawdzania ustawień serwera proxy dla protokołu HTTP znajduje się w sekcji „Things to Check Before Troubleshooting AD FS” (Elementy do sprawdzenia przed rozpoczęciem rozwiązywania problemów z usługami AD FS) na stronie AD FS troubleshooting guide (Przewodnik rozwiązywania problemów z usługami AD FS).
Target | Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Event_ID | 374 | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | $Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$ |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>ConfigurationHealth</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">374</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>