Documentation Oracle Cloud Infrastructure

Erreurs de connexion SAML

Identifiez les messages d'erreur de connexion SAML et découvrez les étapes à suivre pour les résoudre.

Remarque

Les erreurs de connexion SAML sont destinées à un administrateur de service pour les aider à résoudre les problèmes de connexion. Si vous n'êtes pas administrateur et que vous avez des difficultés à vous connecter, contactez l'administrateur de service. Si vous avez besoin d'aide pour contacter l'administrateur, reportez-vous à Contact avec l'administrateur dans la section Contact avec le support technique.

Les erreurs de connexion SAML s'affichent lorsqu'un problème de métadonnées se produit, ou lorsqu'un certificat de sécurité est manquant ou ne parvient pas à être validé. Pour corriger, accéder, comparer et corriger les métadonnées, ou fournir les certificats en cours du fournisseur de services.

Le partenaire de fédération [partner_name] n'est pas reconnu

Comparez les métadonnées d'accès avec connexion unique de l'application aux métadonnées du fournisseur de domaine d'identité pour vous assurer qu'elles correspondent.

Ce message s'affiche en cas de configuration incorrecte lors de la configuration de SAML en tant que fournisseur d'identités ou de service. Si les domaines d'identité sont le fournisseur d'identités (IdP), leur configuration doit correspondre aux métadonnées obtenues du fournisseur de services. Si les domaines d'identité sont le fournisseur de services, sa configuration doit correspondre aux métadonnées obtenues du fournisseur d'identités.

Les domaines d'identité sont le fournisseur d'identités (IdP)

  1. Ouvrez le menu de navigation et sélectionnez Sécurité d'identité. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Accédez aux informations SSO de l'application SAML en cours de vérification.
  4. Accédez aux métadonnées du fournisseur de domaines d'identité du fournisseur de services en ligne à l'adresse https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  5. Comparez entityID et AssertionConsumerService avec les informations SSO des métadonnées et assurez-vous qu'elles correspondent.
  6. Si la déconnexion unique est activée, comparez SingleLogoutService et ResponseLocation et assurez-vous qu'ils correspondent.
  7. Corrigez les éventuelles incohérences.

Les domaines d'identité sont le fournisseur de services

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Ensuite, sélectionnez Sécurité, puis Fournisseurs d'identités.
  3. Accédez aux métadonnées des domaines d'identité du fournisseur d'identités en ligne à l'adresse https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  4. Si vous avez téléchargé des métadonnées à partir de IdP, veillez à télécharger le fichier de métadonnées correct.
  5. Si vous avez saisi manuellement les métadonnées IdP, assurez-vous que entityID et AssertionConsumerService correspondent aux métadonnées IdP.
  6. Si la déconnexion unique est activée, comparez SingleLogoutService et ResponseLocation et assurez-vous qu'ils correspondent.
  7. Corrigez les éventuelles incohérences.

Certificat manquant lors de la tentative de vérification de la signature numérique entrante pour le partenaire [partner_name]

Chargez le certificat de sécurité manquant dans l'application SAML.

Ce message s'affiche lorsqu'un certificat de signature ne se trouve pas dans l'application SAML du domaine d'identité.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Accédez aux informations SSO de l'application SAML en cours de vérification.
  4. Vérifiez le champ Certificat de signature et, si ce champ est vide, téléchargez le certificat reçu du fournisseur de services.

Echec de la vérification de la signature de la requête d'URL pour le partenaire [partner_name]. Le certificat du partenaire distant doit peut-être être mis à jour

Téléchargez le certificat de sécurité en cours vers l'application SAML.

Ce message s'affiche lorsqu'un certificat de signature dans IDCS a expiré ou ne peut pas être vérifié.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Accédez aux informations SSO de l'application SAML en cours de vérification.
  4. Chargez un certificat en cours reçu du fournisseur de services.

Echec de la vérification de la signature pour le partenaire [partner_name]. Il est possible que le certificat du fournisseur distant doit être mis à jour

Téléchargez le certificat de sécurité en cours vers l'application SAML.

Ce message s'affiche lorsqu'un certificat de signature dans un domaine d'identité a expiré ou ne peut pas être vérifié.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Ensuite, sélectionnez Sécurité, puis Fournisseurs d'identités.
  3. Sélectionnez le menu Actions (trois points) (menu Actions) du fournisseur d'identités à mettre à jour.
  4. Sélectionnez Modifier IdP. Une fenêtre affichant les paramètres de configuration du fournisseur d'identités apparaît.
  5. Si vous avez téléchargé des métadonnées à partir de IdP, obtenez et téléchargez les métadonnées en cours.
  6. Si vous avez saisi manuellement des métadonnées IdP, obtenez et téléchargez un nouveau certificat de signature à partir du fournisseur d'identités.

Aucun utilisateur renvoyé par la stratégie de corrélation

Les utilisateurs indiqués dans l'assertion SAML doivent exister dans la banque de données du fournisseur de services et le mécanisme de corrélation utilisateur dans la ressource IdP doit être configuré correctement.

Ce message s'affiche pour l'une des deux raisons suivantes :
  • L'utilisateur spécifié n'a pas été ajouté au fournisseur de services. Accédez au domaine et ajoutez-le.
  • La configuration du mécanisme de corrélation utilisateur dans la ressource IdP est incorrecte. Vérifiez qu'il existe un utilisateur avec le mécanisme de corrélation défini dans la ressource IdP.

Aucun utilisateur trouvé dans la banque de données du fournisseur de services pour la stratégie de corrélation définie

  1. Ouvrez le menu de navigation et sélectionnez Sécurité d'identité. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Ensuite, sélectionnez Utilisateurs.
  3. Vérifiez que l'utilisateur indiqué figure dans la liste des utilisateurs. Si ce n'est pas le cas, créez un utilisateur ou utilisez Just in Time (JIT) ou System for Cross-domain Identity Management (SCIM) pour provisionner l'utilisateur.

Problème de politique de corrélation

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Ensuite, sélectionnez Sécurité, puis Fournisseurs d'identités.
  3. Vérifiez que la configuration de l'attribut d'assertion/de l'ID de nom SAML correspond à l'utilisateur défini dans la banque d'identités du fournisseur de services. Si des configurations de provisionnement telles que JIT/SCIM sont activées, vérifiez-les également.

Plusieurs utilisateurs renvoyés via la stratégie de corrélation

Le mécanisme de corrélation utilisateur dans la ressource IdP doit être configuré correctement.

Ce message s'affiche si l'ID de nom d'assertion SAML ou la configuration d'attribut d'assertion SAML ne correspond pas correctement à plusieurs utilisateurs.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Ensuite, sélectionnez Sécurité, puis Fournisseurs d'identités.
  3. Vérifiez l'ID de nom d'assertion SAML ou la configuration d'attribut d'assertion SAML. Il peut correspondre à plusieurs utilisateurs dans la banque d'identités.

L'application saml du partenaire de fédération n'est pas activée

Activez l'application saml-app désactivée.

Ce problème survient lorsque l'application SAML configurée sur la fin du fournisseur d'identités n'est pas activée

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Assurez-vous que l'application SAML vérifiée est activée. Si ce n'est pas le cas, sélectionnez Activer.