Documentation sur Oracle Cloud Infrastructure

Erreurs de connexion SAML

Identifiez les messages d'erreur de connexion SAML et découvrez les étapes à suivre pour les résoudre.

Note

Les erreurs de connexion SAML sont destinées à un administrateur de service pour l'aider à résoudre les problèmes de connexion. Si vous n'êtes pas administrateur et que vous rencontrez des difficultés pour vous connecter, communiquez avec l'administrateur du service. Si vous avez besoin d'aide pour communiquer avec votre administrateur, voir Communiquer avec votre administrateur dans la section Communiquer avec le soutien.

Les erreurs de connexion SAML s'affichent lorsqu'un problème de métadonnées se produit, ou lorsqu'un certificat de sécurité est manquant ou échoue à valider. Pour corriger, accéder, comparer et corriger les métadonnées ou fournir les certificats courants du fournisseur de services.

Le partenaire de la fédération [partner_name] n'est pas reconnu

Comparez les métadonnées d'authentification unique de l'application aux métadonnées du fournisseur de domaine d'identité pour vous assurer qu'elles correspondent.

Ce message s'affiche en cas de configuration incorrecte lors de la configuration de SAML en tant que fournisseur d'identités ou fournisseur de services. Si les domaines d'identité sont le fournisseur d'identités (IdP), sa configuration doit correspondre aux métadonnées obtenues du fournisseur de services. Si les domaines d'identité sont le fournisseur de services, sa configuration doit correspondre aux métadonnées obtenues du fournisseur d'identités.

Identity Domains est le fournisseur d'identités (IdP)

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Accéder aux informations d'authentification unique de l'application SAML en cours de vérification.
  4. Accédez aux métadonnées du fournisseur de domaines d'identité du fournisseur de services en ligne à l'adresse https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  5. Comparez entityID et AssertionConsumerService avec les informations d'authentification unique des métadonnées et assurez-vous qu'elles correspondent.
  6. Si la déconnexion unique est activée, comparez SingleLogoutService et ResponseLocation et assurez-vous qu'ils correspondent.
  7. Corrigez toute non-concordance.

Les domaines d'identité sont le fournisseur de services (SP)

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Sécurité, puis Fournisseurs d'identités.
  3. Accédez aux métadonnées des domaines d'identité du fournisseur d'identités en ligne à l'adresse https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  4. Si vous avez chargé les métadonnées à partir de IdP, assurez-vous de charger le bon fichier de métadonnées.
  5. Si vous avez entré manuellement les métadonnées IdP, assurez-vous que entityID et AssertionConsumerService correspondent aux métadonnées IdP.
  6. Si la déconnexion unique est activée, comparez SingleLogoutService et ResponseLocation et assurez-vous qu'ils correspondent.
  7. Corrigez toute non-concordance.

Certificat manquant lors de la tentative de vérification de la signature numérique entrante pour le partenaire [partner_name]

Chargez le certificat de sécurité manquant dans l'application SAML.

Ce message s'affiche lorsqu'un certificat de signature ne se trouve pas dans l'application SAML du domaine d'identité.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Accéder aux informations d'authentification unique de l'application SAML en cours de vérification.
  4. Vérifiez le champ Certificat de signature et, s'il est vide, chargez le certificat reçu du fournisseur de services.

Échec de la vérification de la signature de l'interrogation d'URL pour le partenaire [partner_name]. Le certificat du partenaire distant doit peut-être être mis à jour

Chargez le certificat de sécurité courant dans l'application SAML.

Ce message s'affiche lorsqu'un certificat de signature dans IDCS a expiré ou ne peut pas être vérifié.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Accéder aux informations d'authentification unique de l'application SAML en cours de vérification.
  4. Chargez un certificat courant reçu du fournisseur de services.

Échec de la vérification de la signature pour le partenaire [partner_name]. Le certificat du fournisseur distant doit peut-être être mis à jour

Chargez le certificat de sécurité courant dans l'application SAML.

Ce message s'affiche lorsqu'un certificat de signature dans un domaine d'identité a expiré ou ne peut pas être vérifié.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Fédération, puis Fournisseurs d'identités.
  3. Sélectionnez le menu Actions (trois points) pour le fournisseur d'identités à mettre à jour.
  4. Sélectionnez Modifier. Une fenêtre qui affiche les paramètres de configuration pour le fournisseur d'identités s'ouvre.
  5. Si vous avez chargé des métadonnées à partir de IdP, obtenez et chargez les métadonnées courantes.
  6. Si vous avez entré manuellement les métadonnées IdP, obtenez et chargez un nouveau certificat de signature à partir de IdP.

Aucun utilisateur retourné par la politique de corrélation

Les utilisateurs spécifiés dans l'assertion SAML doivent exister dans le magasin de données du fournisseur de services et le mécanisme de corrélation des utilisateurs dans la ressource IdP doit être configuré correctement.

Ce message s'affiche pour l'une des deux raisons suivantes :
  • L'utilisateur spécifié n'a pas été ajouté au fournisseur de services. Accédez au domaine et ajoutez-les.
  • Le mécanisme de corrélation d'utilisateur dans la ressource IdP n'est pas configuré correctement. Vérifiez qu'il y a un utilisateur avec le mécanisme de corrélation défini dans la ressource IdP.

Aucun utilisateur trouvé dans le magasin de données du fournisseur de services pour la politique de corrélation définie

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Utilisateurs.
  3. Vérifiez que l'utilisateur spécifié figure dans la liste des utilisateurs. Sinon, créez un nouvel utilisateur ou utilisez Just in Time (JIT) ou System for Cross-domain Identity Management (SCIM) pour provisionner l'utilisateur.

Problème de politique de corrélation

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Sécurité, puis Fournisseurs d'identités.
  3. Vérifiez que la configuration de l'attribut d'assertion SAML/ID nom correspond à l'utilisateur défini dans le magasin d'identités du fournisseur de services. Ou, si des configurations de provisionnement sont activées, par exemple JIT/SCIM, vérifiez-les également.

Plusieurs utilisateurs retournés au moyen de la politique de corrélation

Le mécanisme de corrélation d'utilisateur dans la ressource IdP doit être configuré correctement.

Ce message s'affiche si l'ID nom de l'assertion SAML ou la configuration de l'attribut d'assertion SAML correspond incorrectement à plusieurs utilisateurs.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Sécurité, puis Fournisseurs d'identités.
  3. Vérifiez l'ID nom de l'assertion SAML ou la configuration de l'attribut d'assertion SAML. Il peut correspondre à plusieurs utilisateurs dans le magasin d'identités.

L'application saml-app du partenaire de fédération n'est pas activée

Activez l'application saml-app désactivée.

Ce problème survient lorsque l'application SAML configurée à l'extrémité du fournisseur d'identités n'est pas activée

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Assurez-vous que l'application SAML en cours de vérification est activée. Dans le cas contraire, sélectionnez Activer.