Active Directory Federation Services (ADFS) でトークン署名証明書が複数設定されている場合、ADFS で発行した MetaData を Cisco Unified Communications Manager (CUCM) にインポートすると SSO Test が "Error while processing saml response" と表示されて失敗します。

Cisco SSO Logs には、下記のエラーが出力されます。

2015-01-01 15:00:30,752 ERROR [http-bio-443-exec-84] authentication.SAMLAuthenticator - Error while processing saml response The signing certificate does not match what's defined in the entity metadata.

解決策

下記のいずれかの方法で回避できます。

1. ADFS において、トークン署名証明書を 1 つのみ設定する。

2. 以下の方法で MetaData から 2 つ目のトークン署名証明書の情報を削除する。

　- Secondary のトークン署名を ADFS (サービス -> 証明書) でダブルクリック
　- 詳細->ファイルのコピー
　- Base 64 encoded X.509 を選択して保存
  - 保存したファイルをテキストエディタで開き、表示された文字列をメモする
  - MetaData ファイルから上記文字列を含むタグ<KeyDescriptor use="signing">を削除し、インポート
  - 再度 CUCM で SSO を有効化して確認