O Serviço de Federação não conseguiu processar o pedido assinado de início ou fim de sessão SAML porque o certificado que o parceiro utilizou para assinar o pedido falhou uma verificação de revogação de certificado ou expirou.
Eis algumas causas possíveis deste evento:
O certificado foi revogado.
Não foi possível verificar a cadeia de certificados conforme especificado pelas definições de revogação do certificado de assinatura desta fidedignidade de entidade confiadora.
O certificado não se encontra dentro do período de validade.
Nota:
Poderá utilizar cmdlets do Windows PowerShell para o AD FS para configurar as definições de revogação do certificado de assinatura da fidedignidade de entidade confiadora. Para a definição específica, utilize o parâmetro SigningCertificateRevocationCheck do cmdlet Set-ADFSRelyingPartyTrust.
Eis algumas resoluções possíveis deste evento:
Certifique-se de que o certificado de assinatura da fidedignidade de entidade confiadora é válido e não foi revogado.
Certifique-se de que o AD FS consegue aceder à lista de revogação de certificados se a definição de revogação não especificar "nenhum" ou uma definição "apenas cache".
Verifique as definições do servidor proxy HTTP. Para mais informações sobre como verificar as definições do servidor proxy HTTP, consulte a secção "Coisas a Verificar Antes de Resolver Problemas do AD FS" no Manual de resolução de problemas do AD FS.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Event_ID | 316 | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | $Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$ |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>ConfigurationHealth</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">316</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>