Documentation sur Oracle Cloud Infrastructure

Erreurs de connexion SAML

Identifier les messages d'erreur de connexion SAML et apprendre à les résoudre.

Note

Les erreurs de connexion SAML sont destinées à un administrateur de service pour l'aider à résoudre les problèmes de connexion. Si vous n'êtes pas administrateur et que vous éprouvez des difficultés à vous connecter, communiquez avec l'administrateur du service. Si vous avez besoin d'aide pour communiquer avec votre administrateur, voir Communiquer avec votre administrateur dans la section Communiquer avec le soutien technique.

Les erreurs de connexion SAML s'affichent lorsqu'un problème avec les métadonnées se produit, ou lorsqu'un certificat de sécurité est manquant ou ne peut pas être validé. Pour corriger, accéder, comparer et corriger les métadonnées, ou fournir des certificats courants du fournisseur de services.

Le partenaire de la fédération [partner_name] n'est pas reconnu

Comparez les métadonnées d'authentification unique de l'application aux métadonnées du fournisseur de domaine d'identité pour vous assurer qu'elles correspondent.

Ce message s'affiche s'il y a eu une mauvaise configuration lors de la configuration de SAML en tant que fournisseur d'identités ou de services. Si les domaines d'identité sont le fournisseur d'identités (IdP), sa configuration doit correspondre aux métadonnées obtenues du fournisseur de services. Si les domaines d'identité sont le fournisseur de services, leur configuration doit correspondre aux métadonnées obtenues auprès du fournisseur d'identités.

Les domaines d'identité sont le fournisseur d'identités (IdP)

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Accéder aux informations d'authentification unique de l'application SAML en cours de vérification.
  4. Accédez en ligne aux métadonnées du fournisseur de domaines d'identité à l'adresse https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  5. Comparez entityID et AssertionConsumerService aux informations d'authentification unique des métadonnées et assurez-vous qu'elles correspondent.
  6. Si la déconnexion unique est activée, comparez SingleLogoutService et ResponseLocation et assurez-vous qu'ils correspondent.
  7. Corrigez toute non-concordance.

Les domaines d'identité sont le fournisseur de services

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Sécurité, puis Fournisseurs d'identités.
  3. Accédez aux métadonnées des domaines d'identité du fournisseur d'identités en ligne à l'adresse https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  4. Si vous avez chargé des métadonnées à partir de IdP, assurez-vous de charger le fichier de métadonnées correct.
  5. Si vous avez entré manuellement les métadonnées IdP, assurez-vous que entityID et AssertionConsumerService correspondent aux métadonnées IdP.
  6. Si la déconnexion unique est activée, comparez SingleLogoutService et ResponseLocation et assurez-vous qu'ils correspondent.
  7. Corrigez toute non-concordance.

Certificat manquant lors de la tentative de vérification de la signature numérique entrante pour le partenaire [partner_name]

Chargez le certificat de sécurité manquant dans l'application SAML.

Ce message s'affiche lorsqu'un certificat de signature ne se trouve pas dans l'application SAML du domaine d'identité.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Accéder aux informations d'authentification unique de l'application SAML en cours de vérification.
  4. Cochez le champ Certificat de signature et, si ce champ est vide, chargez le certificat reçu du fournisseur de services.

Échec de la vérification de la signature de l'interrogation d'URL pour le partenaire [partner_name]. Le certificat du partenaire distant doit peut-être être mis à jour

Chargez le certificat de sécurité courant dans l'application SAML.

Ce message s'affiche lorsqu'un certificat de signature dans IDCS est expiré ou ne peut pas être vérifié.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Accéder aux informations d'authentification unique de l'application SAML en cours de vérification.
  4. Chargez un certificat courant reçu du fournisseur de services.

Échec de la vérification de la signature pour le partenaire [partner_name]. Le certificat du fournisseur distant doit peut-être être mis à jour

Chargez le certificat de sécurité courant dans l'application SAML.

Ce message s'affiche lorsqu'un certificat de signature dans un domaine d'identité a expiré ou ne peut pas être vérifié.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Sécurité, puis Fournisseurs d'identités.
  3. Sélectionnez le menu Actions (trois points) (menu Actions) pour le fournisseur d'identités à mettre à jour.
  4. Sélectionnez Modifier IdP. Une fenêtre qui affiche les paramètres de configuration pour le fournisseur d'identités s'ouvre.
  5. Si vous avez chargé des métadonnées à partir de IdP, obtenez et chargez les métadonnées courantes.
  6. Si vous avez entré manuellement les métadonnées IdP, obtenez et chargez un nouveau certificat de signature à partir du fournisseur d'identités.

Aucun utilisateur retourné au moyen de la politique de corrélation

Les utilisateurs spécifiés dans l'assertion SAML doivent exister dans le magasin de données du fournisseur de services, et le mécanisme de corrélation des utilisateurs dans la ressource IdP doit être configuré correctement.

Ce message s'affiche pour l'une des deux raisons suivantes :
  • L'utilisateur spécifié n'a pas été ajouté au fournisseur de services. Accédez au domaine et ajoutez-les.
  • Le mécanisme de corrélation d'utilisateur dans la ressource IdP n'est pas configuré correctement. Vérifiez qu'il y a un utilisateur avec le mécanisme de corrélation défini dans la ressource IdP.

Aucun utilisateur trouvé dans le magasin de données du fournisseur de services pour la politique de corrélation définie

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Utilisateurs.
  3. Vérifiez que l'utilisateur spécifié se trouve dans la liste des utilisateurs. Si ce n'est pas le cas, créez un nouvel utilisateur ou utilisez JIT (Just in Time) ou SCIM (Système pour la gestion des identités entre domaines) pour provisionner l'utilisateur.

Problème de politique de corrélation

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Sécurité, puis Fournisseurs d'identités.
  3. Vérifiez que la configuration de l'attribut d'assertion SAML/de l'ID nom correspond à l'utilisateur défini dans le magasin d'identités du fournisseur de services. Ou, si des configurations de provisionnement sont activées telles que JIT/SCIM, vérifiez-les également.

Plusieurs utilisateurs retournés au moyen de la politique de corrélation

Le mécanisme de corrélation d'utilisateur dans la ressource IdP doit être configuré correctement.

Ce message s'affiche si l'ID nom d'assertion SAML ou la configuration d'attribut d'assertion SAML ne correspond pas correctement à plusieurs utilisateurs.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Sécurité, puis Fournisseurs d'identités.
  3. Vérifiez la configuration de l'ID nom ou de l'attribut d'assertion SAML. Il peut correspondre à plusieurs utilisateurs du magasin d'identités.

L'application saml-app du partenaire de fédération n'est pas activée

Activez l'application saml-app désactivée.

Ce problème survient lorsque l'application SAML configurée à l'extrémité du fournisseur d'identités n'est pas activée

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Assurez-vous que l'application SAML en cours de vérification est activée. Si ce n'est pas le cas, sélectionnez Activer.