Oracle Cloud Infrastructure - Dokumentation

SAML-Anmeldefehler

Identifizieren Sie SAML-Anmeldefehlermeldungen und lernen Sie, wie Sie diese beheben können.

Hinweis

SAML-Anmeldefehler werden von einem Serviceadministrator bei der Fehlerbehebung bei Anmeldeproblemen behandelt. Wenn Sie kein Administrator sind und Probleme bei der Anmeldung haben, wenden Sie sich an Ihren Serviceadministrator. Wenn Sie Hilfe bei der Kontaktaufnahme mit Ihrem Administrator benötigen, lesen Sie Kontakt mit Ihrem Administrator aufnehmen im Abschnitt Support kontaktieren.

SAML-Anmeldefehler werden angezeigt, wenn ein Problem mit Metadaten auftritt oder wenn ein Sicherheitszertifikat fehlt oder nicht validiert werden kann. Zum Beheben, Aufrufen, Vergleichen und Korrigieren der Metadaten oder zum Bereitstellen aktueller Zertifikate vom Serviceprovider.

Der Federation-Partner [partner_name] wird nicht erkannt

Vergleichen Sie die Single Sign-On-Metadaten der Anwendung mit den Metadaten des Identitätsdomainproviders, um sicherzustellen, dass sie übereinstimmen.

Diese Meldung wird angezeigt, wenn beim Einrichten von SAML als Identitätsprovider oder Serviceprovider eine falsche Konfiguration aufgetreten ist. Wenn Identitätsdomains der Identitätsprovider (IdP) sind, muss seine Konfiguration mit den Metadaten übereinstimmen, die vom Serviceprovider (SP) abgerufen werden. Wenn Identitätsdomains der Serviceprovider sind, muss die Konfiguration mit den Metadaten übereinstimmen, die vom Identitätsprovider abgerufen werden.

Identitätsdomains sind der Identitätsprovider (IdP)

  1. Öffnen Sie das Navigationsmenü, und wählen Sie Identity Security aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Wählen Sie dann Integrierte Anwendungen aus.
  3. Greifen Sie auf die SSO-Informationen der zu prüfenden SAML-Anwendung zu.
  4. Greifen Sie online unter https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata auf die Metadaten des Identitätsdomainproviders des Serviceproviders zu.
  5. Vergleichen Sie entityID und AssertionConsumerService mit den SSO-Informationen aus den Metadaten, und stellen Sie sicher, dass sie übereinstimmen.
  6. Wenn Single Abmeldung aktiviert ist, vergleichen Sie SingleLogoutService und ResponseLocation, und stellen Sie sicher, dass sie übereinstimmen.
  7. Korrigieren Sie etwaige Abweichungen.

Identitätsdomains sind der Serviceprovider (SP)

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identitätssicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Wählen Sie dann Sicherheit und dann Identitätsprovider.
  3. Greifen Sie online unter https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata auf Identitätsdomainmetadaten des Identitätsproviders zu.
  4. Wenn Sie Metadaten aus der IdP hochgeladen haben, stellen Sie sicher, dass Sie die korrekte Metadatendatei hochgeladen haben.
  5. Wenn Sie die Metadaten IdP manuell eingegeben haben, stellen Sie sicher, dass entityID und AssertionConsumerService mit den Metadaten IdP übereinstimmen.
  6. Wenn Single Abmeldung aktiviert ist, vergleichen Sie SingleLogoutService und ResponseLocation, und stellen Sie sicher, dass sie übereinstimmen.
  7. Korrigieren Sie etwaige Abweichungen.

Das Zertifikat fehlte bei dem Versuch, die eingehende digitale Signatur für Partner zu prüfen [partner_name]

Laden Sie das fehlende Sicherheitszertifikat in die SAML-Anwendung hoch.

Diese Meldung wird angezeigt, wenn sich ein Signaturzertifikat nicht in der SAML-Anwendung in der Identitätsdomain befindet.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identitätssicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Wählen Sie dann Integrierte Anwendungen aus.
  3. Greifen Sie auf die SSO-Informationen der zu prüfenden SAML-Anwendung zu.
  4. Aktivieren Sie das Feld Signaturzertifikat, und laden Sie das vom Serviceprovider empfangene Zertifikat hoch, wenn es leer ist.

Signaturverifizierung der URL-Abfrage für Partner [partner_name] nicht erfolgreich. Das Zertifikat des Remote-Partners muss möglicherweise aktualisiert werden

Laden Sie das aktuelle Sicherheitszertifikat in die SAML-Anwendung hoch.

Diese Meldung wird angezeigt, wenn ein Signaturzertifikat in IDCS abgelaufen ist oder anderweitig nicht verifiziert werden kann.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identitätssicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Wählen Sie dann Integrierte Anwendungen aus.
  3. Greifen Sie auf die SSO-Informationen der zu prüfenden SAML-Anwendung zu.
  4. Laden Sie ein aktuelles Zertifikat hoch, das vom Serviceprovider empfangen wurde.

Signaturprüfung für Partner [partner_name] nicht erfolgreich. Das Zertifikat aus dem Remote-Provider muss eventuell aktualisiert werden

Laden Sie das aktuelle Sicherheitszertifikat in die SAML-Anwendung hoch.

Diese Meldung wird angezeigt, wenn ein Signaturzertifikat in einer Identitätsdomain abgelaufen ist oder anderweitig nicht verifiziert werden kann.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identitätssicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Wählen Sie dann Föderation, Identitätsprovider aus.
  3. Wählen Sie das Menü Aktionen (drei Punkte) für den Identitätsprovider aus, den Sie aktualisieren möchten.
  4. Wählen Sie Bearbeiten aus. Ein Fenster mit Konfigurationseinstellungen für den IdP wird geöffnet.
  5. Wenn Sie Metadaten aus der IdP hochgeladen haben, rufen Sie die aktuellen Metadaten ab, und laden Sie sie hoch.
  6. Wenn Sie IdP-Metadaten manuell eingegeben haben, rufen Sie ein neues Signaturzertifikat aus der IdP ab, und laden Sie es hoch.

Kein Benutzer durch Korrelations-Policy zurückgegeben

In der SAML-Assertion angegebene Benutzer müssen im Datenspeicher des Serviceproviders vorhanden sein, und der Benutzerkorrelationsmechanismus in der Ressource IdP muss korrekt eingerichtet werden.

Diese Meldung wird aus zwei Gründen angezeigt:
  • Der angegebene Benutzer wurde dem Serviceanbieter nicht hinzugefügt. Navigieren Sie zur Domain, und fügen Sie sie hinzu.
  • Der Benutzerkorrelationsmechanismus in der Ressource IdP ist falsch eingerichtet. Prüfen Sie, ob ein Benutzer mit dem Korrelationsmechanismus vorhanden ist, der in der Ressource IdP definiert ist.

Kein Benutzer im Datenspeicher des Serviceanbieters für die definierte Korrelations-Policy gefunden

  1. Öffnen Sie das Navigationsmenü, und wählen Sie Identity Security aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Wählen Sie dann Users (Benutzer).
  3. Prüfen Sie, ob sich der angegebene Benutzer in der Benutzerliste befindet. Wenn nicht, erstellen Sie einen neuen Benutzer, oder verwenden Sie "Just in Time" (JIT) oder "System for Cross-Domain Identity Management" (SCIM), um den Benutzer bereitzustellen.

Korrelationsrichtlinienproblem

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identitätssicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Wählen Sie dann Sicherheit und dann Identitätsprovider.
  3. Überprüfen Sie, ob die Konfiguration des SAML-Assertion-Attributs/der Name-ID mit dem im Identitätsspeicher des Serviceproviders definierten Benutzer übereinstimmt. Wenn Provisioning-Konfigurationen wie JIT/SCIM aktiviert sind, prüfen Sie sie auch.

Mehrere Benutzer durch Korrelations-Policy zurückgegeben

Der Benutzerkorrelationsmechanismus in der Ressource IdP muss korrekt eingerichtet werden.

Diese Meldung wird angezeigt, wenn die SAML-Assertion-Namens-ID oder die SAML-Assertion-Attributkonfiguration falsch mit mehreren Benutzern übereinstimmt.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identitätssicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Wählen Sie dann Sicherheit und dann Identitätsprovider.
  3. Prüfen Sie die Konfiguration der SAML-Assertion-Namens-ID oder des SAML-Assertion-Attributs. Es kann mit mehreren Benutzern im Identitätsspeicher übereinstimmen.

Der Federation-Partner saml-app ist nicht aktiviert

Aktivieren Sie die deaktivierte saml-app.

Dieses Problem tritt auf, wenn die am IDP-Ende konfigurierte SAML-App nicht aktiviert ist

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identitätssicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Wählen Sie dann Integrierte Anwendungen aus.
  3. Stellen Sie sicher, dass die zu prüfende SAML-Anwendung aktiviert ist. Andernfalls wählen Sie Aktivieren.