product icon

Hoe los ik problemen met SSO op?

    Tabel van storingscodes

    Code

    Federatie Type Enum Waarde Commentaar Mogelijke oplossingen
    1 WS-Federatie InvalidMessageType Ongeldig antwoord, kan SignInResponseMessage niet parsen, het geretourneerde bericht heeft een ongeldig formaat. Controleer uw configuratie
    2 WS-Federatie MissingContext

    Context niet bewaard tijdens redirects

    Het geretourneerde bericht bevat niet de federatiecontext, kan de stroom niet hervatten.

    Controleer uw configuratie
    3 SAML2 InvalidResponseToken Ongeldig antwoord of authenticatie was niet succesvol.
    4 WS-Federatie InvalidSecurityToken Antwoord XML-handtekening is ongeldig. Controleer of de gebruikte handtekeningmethode wordt ondersteund.
    5 SAML2/WS-Federation SecurityTokenNotYetValid Het token is nog niet geldig. Tijdcorrectie is nodig op de server van de cliënt.
    6 SAML2/WS-Federation SecurityTokenExpired Het token is verlopen. Tijdcorrectie is nodig op de server van de cliënt.
    7 SAML2/WS-Federation InvalidIdentityProviderId Kan geen federatiegegevens vinden voor het domein. Neem contact op met Support.
    8 SAML2/WS-Federation EmailMismatch Het e-maildomein is anders dan de opgeslagen federatiegegevens.
    9 SAML2/WS-Federation SignatureVerificationKeyMismatch De openbare sleutel van de handtekening is anders dan de opgeslagen sleutel. Neem contact op met Support.
    10 SAML2/WS-Federation MissingSamlAttributes De verklaring bevat geen SAML-attributen. Controleer de configuratie, zorg ervoor dat de vereiste claims worden geretourneerd.
    11 SAML2/WS-Federation MissingSamlAttributeValues De verklaring bevat geen SAML-attribuutwaarden. Controleer de configuratie, zorg ervoor dat de vereiste claims worden geretourneerd.
    13 SAML2/WS-Federation MissingEmailClaim In de bewering is geen emailkenmerk aanwezig. Verkeerd geconfigureerde attribuuttoewijzingen of attribuutnamen.
    14 SAML2/WS-Federation InvalidFederatedContext Kan federatiecontext niet vinden, waarschijnlijk uit cache getimed. Vraag de gebruikers om de aanmeldingsstroom in minder dan 20 minuten te voltooien.
    16 SAML2/WS-Federation InvalidSignatureVerificationCertificate Kan SAML antwoord niet valideren, het certificaat is ongeldig. Controleer of het certificaat van de handtekening van het antwoordbericht correct is.
    17 SAML2/WS-Federation MissingSignatureVerificationKey De openbare sleutel van het ondertekeningscertificaat staat niet in de verklaring. Controleer of het certificaat van de handtekening van het antwoordbericht correct is .
    18 WS-Federatie InvalidRequestMethod Niet ondersteunde HTTP methode. WS-Federatie ondersteunt alleen Http POST.
    19 SAML2/WS-Federation InvalidRequest Kan SAML antwoord niet parsen.
    20 WS-Federatie MissingMessage Ontbrekend federatiebericht.
    21 SAML2/WS-Federation ReplayedToken SAML-token is al gebruikt.

    Problemen oplossen

    InvalidMessageType

    Ongeldig berichtformaat betekent dat iets in de bewering niet wordt herkend. Dit kan gebeuren wanneer de kenmerken niet worden herkend of er belangrijke informatie in de verklaring ontbreekt.

    Om tot een oplossing te komen, moet u een bewering verzamelen en analyseren op ontbrekende parameters. U kunt het probleem opnieuw uitvoeren in Firefox en SAML Tracer of SSO Tracer gebruiken.

    Zodra u de verklaring hebt verzameld, vergelijkt u deze met de onderstaande voorbeeldverklaring. Als er niets uitspringt, geef het dan aan de ontwikkeling met de andere relevante gegevens.

    InvalidResponseToken

    Er zijn een paar gevallen waarin dit kan gebeuren, het meest opvallende is wanneer de attributen voor email, voornaam en achternaam verkeerd zijn. Vaak ziet u attributen met namen als mail, voornaam, naam, enz. Deze moeten worden aangepast als E-mail Voornaam en Achternaam in de verklaring. Hier is een voorbeeld van een mislukte bewering:

    " 
    NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
             john.smith@internet.com
          
          " 
    NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
             Smith
          
          " 
    NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
             John
          
       

    De gemarkeerde items hierboven moeten worden aangepast naar Email, LastName en FirstName.

    SecurityTokenNotYetValid

    Alle certificaten hebben een geldigheidsduur, die wordt bepaald door de partij die ze aanmaakt, dat kan een Cert Authority zijn zoals Thawte of GlobalSign, of ze kunnen door de klant worden aangemaakt. Deze fout doet zich voor wanneer het certificaat nog niet in zijn geldigheidsperiode is gekomen. Controleer de geldigheidsdata van het certificaat en zorg ervoor dat het geldig is voor de vereiste periode.

    SecurityTokenExpired

    Net als bij de vorige fout gaat het hier om de geldigheidsduur van een certificaat. Certificaten hebben over het algemeen een vervaldatum en de meeste bedrijven veranderen ze jaarlijks. De gebruiker krijgt deze foutmelding als het certificaat is verlopen. Daarvoor moeten we een bijgewerkt exemplaar ontvangen en het nieuwe exemplaar naar de rekening uploaden.

    EmailMismatch

    Dit is een vrij veel voorkomende fout die gemakkelijk te herkennen is. Zoals de naam al aangeeft, betekent deze fout dat de e-mail die u opgeeft niet dezelfde is als de e-mail die u intypt. Het e-mailadres dat u invoert op de Central aanmeldingspagina moet hetzelfde zijn als het e-mailadres in de: bewering.

    Hier is een voorbeeld van een e-mailbevestiging:

    
               
                   https://accounts.logme.in
               
           
           
               
                   Justin
               
               ">
                   Bell
               
               ">
                   jbell@logmeinse.com
               
           
           
               
                   urn:federation:authentication:windows
               
           
       

    Zorg ervoor dat de e-mails overeenkomen.

    SignatureVerificationKeyMismatch

    Het certificaat is niet hetzelfde als dat van IDP. Zorg ervoor dat de certificaten overeenkomen, leg ze vast in het klanten- of metadata xml-bestand en upload ze opnieuw.

    MissingSamlAttributes

    SAML-attributen ontbreken, zorg ervoor dat de klant de juiste regels heeft geconfigureerd aan IDP-zijde. Controleer of voornaam, achternaam en e-mail worden opgegeven.

    MissingSamlAttributeValues

    Variabelen aanwezig voor Voornaam, Achternaam en E-mail, maar worden leeg geleverd zonder gegevens. Onderzoek naar bewering en regels aan IDP-zijde.

    MissingEmailClaim

    Email attribuut ontbreekt in assertie. Onderzoek naar bewering en regels aan IDP-zijde.

    InvalidFederatedContext

    Over het algemeen veroorzaakt door time-out, dit kan voorkomen als de gebruiker het inlogproces start, vervolgens niet voltooit en het later probeert. Laat ze het hele inlogproces van begin tot eind proberen, zonder tussenpauzes.

    InvalidSignatureVerificationCertificate

    Zorg ervoor dat het in de rekening geüploade certificaat overeenkomt met het door IDP verstrekte certificaat. Capture certificaat direct van klant, IDP of metadata xml bestand.

    InvalidRequestMethod
    WS-federatie ondersteunt alleen Post HTTP-protocol. Als deze fout optreedt, moet de gebruiker het protocol aan IDP-zijde wijzigen in HTTP Post.
    Let op: Aangezien wij nu SAML 2.0 gebruiken, zou u dit probleem in het algemeen niet moeten zien
    InvalidRequest

    Kan antwoord niet analyseren, controleer of de bewering goed doorkomt. Leg de bewering vast en onderzoek wat er mogelijk ontbreekt. Zorg ervoor dat de bewering daadwerkelijk wordt doorgegeven. Soms kunnen regels die aan IDP-zijde niet aanwezig zijn, ertoe leiden dat een assertie niet eens wordt geactiveerd.

    MissingMessage

    Ontbrekend federatiebericht, de juiste gegevens worden niet verstrekt in de bevestiging. Leg de bewering vast en onderzoek wat er mogelijk ontbreekt.

    ReplayedToken

    Eerder gebruikte SAML-token. Gebeurt wanneer een verversing van de pagina dezelfde bewering tweemaal verstuurt.