Hoe los ik problemen met SSO op?
Hier zijn de meest voorkomende stappen voor het oplossen van problemen om SSO te laten werken.
Tabel van storingscodes
Code |
Federatie Type | Enum Waarde | Commentaar | Mogelijke oplossingen |
---|---|---|---|---|
1 | WS-Federatie | InvalidMessageType | Ongeldig antwoord, kan SignInResponseMessage niet parsen, het geretourneerde bericht heeft een ongeldig formaat. | Controleer uw configuratie |
2 | WS-Federatie | MissingContext | Context niet bewaard tijdens redirects Het geretourneerde bericht bevat niet de federatiecontext, kan de stroom niet hervatten. |
Controleer uw configuratie |
3 | SAML2 | InvalidResponseToken | Ongeldig antwoord of authenticatie was niet succesvol. | |
4 | WS-Federatie | InvalidSecurityToken | Antwoord XML-handtekening is ongeldig. | Controleer of de gebruikte handtekeningmethode wordt ondersteund. |
5 | SAML2/WS-Federatie | SecurityTokenNotYetValid | Het token is nog niet geldig. | Tijdcorrectie is nodig op de server van de cliënt. |
6 | SAML2/WS-Federatie | SecurityTokenExpired | Het token is verlopen. | Tijdcorrectie is nodig op de server van de cliënt. |
7 | SAML2/WS-Federatie | InvalidIdentityProviderId | Kan geen federatiegegevens vinden voor het domein. | Neem contact op met Support. |
8 | SAML2/WS-Federatie | EmailMismatch | Het e-maildomein is anders dan de opgeslagen federatiegegevens. | |
9 | SAML2/WS-Federatie | SignatureVerificationKeyMismatch | De openbare sleutel van de handtekening is anders dan de opgeslagen sleutel. | Neem contact op met Support. |
10 | SAML2/WS-Federatie | MissingSamlAttributes | De verklaring bevat geen SAML-attributen. | Controleer de configuratie, zorg ervoor dat de vereiste claims worden geretourneerd. |
11 | SAML2/WS-Federatie | MissingSamlAttributeValues | De verklaring bevat geen SAML-attribuutwaarden. | Controleer de configuratie, zorg ervoor dat de vereiste claims worden geretourneerd. |
13 | SAML2/WS-Federatie | MissingEmailClaim | In de bewering is geen emailkenmerk aanwezig. | Verkeerd geconfigureerde attribuuttoewijzingen of attribuutnamen. |
14 | SAML2/WS-Federatie | InvalidFederatedContext | Kan federatiecontext niet vinden, waarschijnlijk uit cache getimed. | Vraag de gebruikers om de aanmeldingsstroom in minder dan 20 minuten te voltooien. |
16 | SAML2/WS-Federatie | InvalidSignatureVerificationCertificate | Kan SAML antwoord niet valideren, het certificaat is ongeldig. | Controleer of het certificaat van de handtekening van het antwoordbericht correct is. |
17 | SAML2/WS-Federatie | MissingSignatureVerificationKey | De openbare sleutel van het ondertekeningscertificaat staat niet in de verklaring. | Controleer of het certificaat van de handtekening van het antwoordbericht correct is. |
18 | WS-Federatie | InvalidRequestMethod | Niet ondersteunde HTTP methode. | WS-Federatie ondersteunt alleen Http POST. |
19 | SAML2/WS-Federatie | InvalidRequest | Kan SAML antwoord niet parsen. | |
20 | WS-Federatie | MissingMessage | Ontbrekend federatiebericht. | |
21 | SAML2/WS-Federatie | ReplayedToken | SAML-token is al gebruikt. |
Probleemoplossing
- InvalidMessageType
-
Ongeldig berichtformaat betekent dat iets in de bewering niet wordt herkend. Dit kan gebeuren wanneer de kenmerken niet worden herkend of er belangrijke informatie in de verklaring ontbreekt.
Om tot een oplossing te komen, moet u een bewering verzamelen en analyseren op ontbrekende parameters. U kunt het probleem opnieuw uitvoeren in Firefox en SAML Tracer of SSO Tracer gebruiken.
Zodra u de verklaring hebt verzameld, vergelijkt u deze met de onderstaande voorbeeldverklaring. Als er niets uitspringt, geef het dan aan de ontwikkeling met de andere relevante gegevens.
- InvalidResponseToken
-
Er zijn een paar gevallen waarin dit kan gebeuren, het meest voor de hand liggend is wanneer de attributen voor e-mail, voornaam en achternaam verkeerd zijn. Vaak ziet u attributen met namen als mail, voornaam, naam, enz. Deze moeten worden aangepast zodat ze worden weergegeven als EmailFirstName en LastName in de bevestiging. Hier is een voorbeeld van een mislukte bewering:
<saml2:Attribute FriendlyName="mail" Name="" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">john.smith@internet.com</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute FriendlyName="sn" Name="" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Smith</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute FriendlyName="givenName" Name="" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">John</saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement>
De gemarkeerde items hierboven moeten worden aangepast naar Email, LastName en FirstName.
- SecurityTokenNotYetValid
-
Alle certificaten hebben een geldigheidsduur, die wordt bepaald door de partij die ze aanmaakt, dat kan een Cert Authority zijn zoals Thawte of GlobalSign, of ze kunnen door de klant worden aangemaakt. Deze fout doet zich voor wanneer het certificaat nog niet in zijn geldigheidsperiode is gekomen. Controleer de geldigheidsdata van het certificaat en zorg ervoor dat het geldig is voor de vereiste periode.
- SecurityTokenExpired
-
Net als bij de vorige fout gaat het hier om de geldigheidsduur van een certificaat. Certificaten hebben over het algemeen een vervaldatum en de meeste bedrijven veranderen ze jaarlijks. De gebruiker krijgt deze foutmelding als het certificaat is verlopen. Daarvoor moeten we een bijgewerkt exemplaar ontvangen en het nieuwe exemplaar naar de rekening uploaden.
- EmailMismatch
-
Dit is een vrij veel voorkomende fout die gemakkelijk te identificeren is. Zoals de naam al aangeeft, betekent deze fout dat de e-mail die u opgeeft niet dezelfde is als de e-mail die u intypt. Het e-mailadres dat u invoert op de Central aanmeldpagina moet hetzelfde zijn als het e-mailadres in de: bevestiging.
Hier is een voorbeeld van een bewering die e-mail bevat:
<Conditions NotBefore="2015-03-11T20:22:12.093Z" NotOnOrAfter="2015-03-11T21:22:12.093Z"> <AudienceRestriction> <Audience></Audience> </AudienceRestriction> </Conditions> <AttributeStatement> <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"> <AttributeValue>Justin</AttributeValue> </Attribute> <Attribute Name=""> <AttributeValue>Bell</AttributeValue> </Attribute> <Attribute Name=""> <AttributeValue>jbell@logmeinse.com</AttributeValue> </Attribute> </AttributeStatement> <AuthnStatement AuthnInstant="2015-03-11T20:22:12.077Z"> <AuthnContext> <AuthnContextClassRef>urn:federation:authentication:windows</AuthnContextClassRef> </AuthnContext> </AuthnStatement> </Assertion>
Zorg ervoor dat de e-mails overeenkomen.
- SignatureVerificationKeyMismatch
-
Het certificaat is niet hetzelfde als dat van IDP. Zorg ervoor dat de certificaten overeenkomen, leg ze vast in het klanten- of metadata xml-bestand en upload ze opnieuw.
- MissingSamlAttributes
-
SAML-attributen ontbreken, zorg ervoor dat de klant de juiste regels heeft geconfigureerd aan IDP-zijde. Controleer of voornaam, achternaam en e-mail worden opgegeven.
- MissingSamlAttributeValues
-
Variabelen aanwezig voor Voornaam, Achternaam en E-mail, maar worden leeg geleverd zonder gegevens. Onderzoek naar bewering en regels aan IDP-zijde.
- MissingEmailClaim
-
Email attribuut ontbreekt in assertie. Onderzoek naar bewering en regels aan IDP-zijde.
- InvalidFederatedContext
-
Over het algemeen veroorzaakt door time-out, dit kan voorkomen als de gebruiker het inlogproces start, vervolgens niet voltooit en het later probeert. Laat ze het hele inlogproces van begin tot eind proberen, zonder tussenpauzes.
- InvalidSignatureVerificationCertificate
-
Zorg ervoor dat het in de rekening geüploade certificaat overeenkomt met het door IDP verstrekte certificaat. Capture certificaat direct van klant, IDP of metadata xml bestand.
- InvalidRequestMethod
-
WS-federatie ondersteunt alleen Post HTTP-protocol. Als deze fout optreedt, moet de gebruiker het protocol aan IDP-zijde wijzigen in HTTP Post.Note: Aangezien we nu SAML 2.0 gebruiken, zou je dit probleem over het algemeen niet moeten zien
- InvalidRequest
-
Kan antwoord niet analyseren, controleer of de bewering goed doorkomt. Leg de bewering vast en onderzoek wat er mogelijk ontbreekt. Zorg ervoor dat de bewering daadwerkelijk wordt doorgegeven. Soms kunnen regels die aan IDP-zijde niet aanwezig zijn, ertoe leiden dat een assertie niet eens wordt geactiveerd.
- MissingMessage
-
Ontbrekend federatiebericht, de juiste gegevens worden niet verstrekt in de bevestiging. Leg de bewering vast en onderzoek wat er mogelijk ontbreekt.
- ReplayedToken
-
Eerder gebruikte SAML-token. Gebeurt wanneer een verversing van de pagina dezelfde bewering tweemaal verstuurt.