ADFS响应Pysaml2请求时,出现15秒超时现象

背景:

OWA配置为通过ADFS登录,IDP为Pysaml2,当ADFS响应saml请求时,经常会出现固定的15秒超时现象

原因及处理办法:

启用“应用程序和服务日志” - Microsoft - Windows - CAPI2 下的 Operational 日志,在登录OWA的时候,会发现“从网络检索对象超时”的错误日志,原因为ADFS服务器无法访问公网,无法检查证书吊销列表。

ADFS会访问Windows根证书地址和公网域名证书的CRL地址,证书请求默认超时时间为15秒,开通ADFS服务器访问公网权限后,该现象消失。

 During the ssl connection, windows update is invoked to update the Root Certificates. This needs internet connection. If the machine is connected to internet, no delay will be seen. If the machine is not connected to internet, 15 second delay is seen because that is the default timeout value for network retrieval of the updated Root Certificates.

参考:

https://blog.51cto.com/u_12218/10565837

https://www.jianshu.com/p/5d2867435a6e

https://learn.microsoft.com/zh-cn/windows-server/identity/ad-fs/troubleshooting/ad-fs-tshoot-certs

每个必需的 AD FS 证书都有自己的要求:

  • 联合身份验证信任:联合身份验证信任需要以下项之一:
    • 声明提供程序 (CP) 和信赖方 (RP) 联合服务器的受信任根存储中存在链接到相互信任的 Internet 根证书颁发机构的证书 (CA)。
    • 实施了交叉认证设计,每一方都与其合作伙伴交换了其根 CA。
    • 在每一端导入自签名证书(若适用)。
  • 令牌签名:每个联合身份验证服务计算机都需要令牌签名证书。 RP 联合服务器必须信任 CP 令牌签名证书。 RP 令牌签名证书必须受到从 RP 联合服务器接收令牌的所有应用程序的信任。
  • 安全套接字层 (SSL):联合身份验证服务的 SSL 证书必须存在于联合服务器代理计算机上受信任的存储中,并且具有与受信任的证书颁发机构存储的有效链。
  • 证书吊销列表 (CRL):对于具有已发布的 CRL 的任何证书,所有需要访问证书的客户端和服务器都必须可以访问此 CRL。
posted on 2024-10-10 09:47  momingliu11  阅读(10)  评论(0编辑  收藏  举报

Powered by: 博客园 Copyright © 2024 momingliu11
Powered by .NET 9.0 on Kubernetes