Oracle Cloud Infrastructure - Dokumentation

SAML-Anmeldefehler

Identifizieren Sie SAML-Anmeldefehlermeldungen, und erfahren Sie, wie Sie diese beheben können.

SAML-Anmeldefehler werden angezeigt, wenn ein Problem mit Metadaten auftritt oder wenn ein Sicherheitszertifikat fehlt oder nicht validiert werden kann. Um die Metadaten zu korrigieren, darauf zuzugreifen, sie zu vergleichen und zu korrigieren oder aktuelle Zertifikate des Serviceproviders bereitzustellen.

Der Federation-Partner <partner_name> wird nicht erkannt

Vergleichen Sie die Single Sign-On-Metadaten der Anwendung mit den Metadaten des Identitätsdomainproviders, um sicherzustellen, dass sie übereinstimmen.

Diese Meldung wird angezeigt, wenn beim Einrichten von SAML als Identitätsprovider oder Serviceprovider eine falsche Konfiguration aufgetreten ist. Wenn Identitätsdomains der Identitätsprovider (IdP) sind, muss seine Konfiguration mit den Metadaten übereinstimmen, die vom Serviceprovider (SP) abgerufen werden. Wenn Identitätsdomains der Serviceprovider sind, muss die Konfiguration mit den Metadaten übereinstimmen, die vom Identitätsprovider abgerufen werden.

Identitätsdomains ist der Identitätsprovider (IdP)

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Integrierte Anwendungen.
  3. Greifen Sie auf die SSO-Informationen der zu überprüfenden SAML-Anwendung zu.
  4. Greifen Sie online unter https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata auf die Metadaten des Identitätsdomainproviders des Serviceproviders zu.
  5. Vergleichen Sie entityID und AssertionConsumerService mit den SSO-Informationen aus den Metadaten, und stellen Sie sicher, dass sie übereinstimmen.
  6. Wenn die Einzelabmeldung aktiviert ist, vergleichen Sie SingleLogoutService und ResponseLocation, und stellen Sie sicher, dass sie übereinstimmen.
  7. Korrigieren Sie eventuelle Unstimmigkeiten.

Identitätsdomains ist der Serviceprovider (SP)

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Sicherheit, Identitätsprovider.
  3. Greifen Sie online unter https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata auf Identitätsdomainmetadaten des Identitätsproviders zu.
  4. Wenn Sie Metadaten aus der IdP hochgeladen haben, stellen Sie sicher, dass Sie die korrekte Metadatendatei hochgeladen haben.
  5. Wenn Sie IdP-Metadaten manuell eingegeben haben, stellen Sie sicher, dass entityID und AssertionConsumerService mit den IdP-Metadaten übereinstimmen.
  6. Wenn die Einzelabmeldung aktiviert ist, vergleichen Sie SingleLogoutService und ResponseLocation, und stellen Sie sicher, dass sie übereinstimmen.
  7. Korrigieren Sie eventuelle Unstimmigkeiten.

Das Zertifikat hat gefehlt, als versucht wurde, die eingehende digitale Signatur für Partner <partner_name> zu prüfen

Laden Sie das fehlende Sicherheitszertifikat in die SAML-Anwendung hoch.

Diese Nachricht wird angezeigt, wenn sich ein Signaturzertifikat nicht in der SAML-Anwendung in der Identitätsdomain befindet.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Integrierte Anwendungen.
  3. Greifen Sie auf die SSO-Informationen der zu überprüfenden SAML-Anwendung zu.
  4. Aktivieren Sie das Feld Signaturzertifikat, und laden Sie das vom Serviceprovider empfangene Zertifikat hoch, wenn es leer ist.

Signaturverifizierung der URL-Abfrage für Partner <partner_name> nicht erfolgreich. Das Zertifikat des Remote-Partners muss möglicherweise aktualisiert werden

Laden Sie das aktuelle Sicherheitszertifikat in die SAML-Anwendung hoch.

Diese Meldung wird angezeigt, wenn ein Signaturzertifikat in IDCS abgelaufen ist oder anderweitig nicht verifiziert werden kann.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Integrierte Anwendungen.
  3. Greifen Sie auf die SSO-Informationen der zu überprüfenden SAML-Anwendung zu.
  4. Laden Sie ein aktuelles Zertifikat hoch, das vom Serviceprovider empfangen wurde.

Signaturverifizierung für Partner <partner_name> nicht erfolgreich. Das Zertifikat des Remote-Providers muss möglicherweise aktualisiert werden

Laden Sie das aktuelle Sicherheitszertifikat in die SAML-Anwendung hoch.

Diese Meldung wird angezeigt, wenn ein Signaturzertifikat in einer Identitätsdomain abgelaufen ist oder anderweitig nicht verifiziert werden kann.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Sicherheit, Identitätsprovider.
  3. Klicken Sie auf das Menü "Aktionen" (Aktionsmenü) (Menü "Aktionen") für den Identitätsprovider, den Sie aktualisieren möchten.
  4. Wählen Sie IdP bearbeiten aus. Ein Fenster mit Konfigurationseinstellungen für den IdP wird geöffnet.
  5. Wenn Sie Metadaten aus der IdP hochgeladen haben, rufen Sie aktuelle Metadaten ab, und laden Sie sie hoch.
  6. Wenn Sie IdP-Metadaten manuell eingegeben haben, rufen Sie ein neues Signaturzertifikat vom IDP ab, und laden Sie es hoch.

Kein Benutzer über Korrelations-Policy zurückgegeben

Die in der SAML-Assertion angegebenen Benutzer müssen im Datenspeicher des Serviceproviders vorhanden sein, und der Benutzerkorrelationsmechanismus in der Ressource IdP muss korrekt eingerichtet werden.

Diese Meldung wird aus zwei Gründen angezeigt:
  • Der angegebene Benutzer wurde dem Serviceanbieter nicht hinzugefügt. Navigieren Sie zur Domain, und fügen Sie sie hinzu.
  • Der Benutzerkorrelationsmechanismus in der Ressource IdP ist falsch eingerichtet. Prüfen Sie, ob ein Benutzer mit dem Korrelationsmechanismus vorhanden ist, der in der Ressource IdP definiert ist.

Kein Benutzer im Datenspeicher des Serviceproviders für die definierte Korrelations-Policy gefunden

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Benutzer.
  3. Prüfen Sie, ob der angegebene Benutzer in der Liste der Benutzer enthalten ist. Falls nicht, erstellen Sie einen neuen Benutzer, oder verwenden Sie Just in Time (JIT) oder System for Cross-Domain Identity Management (SCIM), um den Benutzer durch Provisioning bereitzustellen.

Korrelations-Policy-Problem

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Sicherheit, Identitätsprovider.
  3. Prüfen Sie, ob die Konfiguration des SAML-Assertion-Attributs/der SAML-Name-ID mit dem im Serviceprovider-Identitätsspeicher definierten Benutzer übereinstimmt. Wenn Provisioning-Konfigurationen wie JIT/SCIM aktiviert sind, prüfen Sie sie auch.

Mehrere Benutzer über Korrelations-Policy zurückgegeben

Der Benutzerkorrelationsmechanismus in der Ressource IdP muss korrekt eingerichtet sein.

Diese Meldung wird angezeigt, wenn die Konfiguration des SAML-Assertion-Namens-IDs oder SAML-Assertion-Attributs mit mehreren Benutzern falsch übereinstimmt.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Sicherheit, Identitätsprovider.
  3. Prüfen Sie die Namens-ID oder die Konfiguration von SAML-Assertion-Attributen. Möglicherweise stimmt er mit mehreren Benutzern im Identitätsspeicher überein.

Der Federation-Partner saml-app ist nicht aktiviert

Aktivieren Sie die deaktivierte saml-app.

Dieses Problem tritt auf, wenn die am IDP-Ende konfigurierte SAML-App nicht aktiviert ist

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Integrierte Anwendungen.
  3. Stellen Sie sicher, dass die verifizierte SAML-Anwendung aktiviert ist. Wenn nicht, klicken Sie auf Aktivieren.