Documentation Oracle Cloud Infrastructure

Erreurs de connexion SAML

Identifier les messages d'erreur de connexion SAML et découvrir les étapes à suivre pour les résoudre.

Remarque

Les erreurs de connexion SAML sont destinées à un administrateur de service afin de l'aider à résoudre les problèmes de connexion. Si vous n'êtes pas administrateur et que vous rencontrez des difficultés pour vous connecter, contactez l'administrateur de service. Si vous avez besoin d'aide pour contacter votre administrateur, reportez-vous à Contact avec votre administrateur dans la section Contact avec le support technique.

Les erreurs de connexion SAML s'affichent lorsqu'un problème de métadonnées se produit ou lorsqu'un certificat de sécurité est manquant ou ne parvient pas à valider. Pour corriger, accéder aux métadonnées, les comparer et les corriger, ou fournir les certificats en cours du fournisseur de services.

Le partenaire Federation [partner_name] n'est pas reconnu

Comparez les métadonnées d'accès avec connexion unique de l'application aux métadonnées du fournisseur de domaine d'identité pour vous assurer qu'elles correspondent.

Ce message s'affiche en cas d'erreur de configuration lors de la configuration de SAML en tant que fournisseur d'identités ou fournisseur de services. Si les domaines d'identité sont le fournisseur d'identités (IdP), sa configuration doit correspondre aux métadonnées obtenues du fournisseur de services. Si les domaines d'identité sont le fournisseur de services, sa configuration doit correspondre aux métadonnées obtenues à partir du fournisseur d'identités.

Les domaines d'identité sont le fournisseur d'identités (IdP)

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Accéder aux informations SSO de l'application SAML à vérifier.
  4. Accédez en ligne aux métadonnées du fournisseur de domaines d'identité du fournisseur de services à l'adresse https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  5. Comparez entityID et AssertionConsumerService avec les informations SSO des métadonnées et assurez-vous qu'elles correspondent.
  6. Si la déconnexion unique est activée, comparez SingleLogoutService et ResponseLocation et assurez-vous qu'ils correspondent.
  7. Corrigez les éventuelles non-concordances.

Les domaines d'identité sont le fournisseur de services.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Ensuite, sélectionnez Sécurité, puis Fournisseurs d'identités.
  3. Accédez en ligne aux métadonnées des domaines d'identité du fournisseur d'identités à l'adresse https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  4. Si vous avez téléchargé des métadonnées à partir du fichier IdP, veillez à télécharger le fichier de métadonnées approprié.
  5. Si vous avez saisi manuellement les métadonnées IdP, assurez-vous que entityID et AssertionConsumerService correspondent aux métadonnées IdP.
  6. Si la déconnexion unique est activée, comparez SingleLogoutService et ResponseLocation et assurez-vous qu'ils correspondent.
  7. Corrigez les éventuelles non-concordances.

Certificat manquant lors de la tentative de vérification de la signature numérique entrante pour le partenaire [partner_name]

Chargez le certificat de sécurité manquant dans l'application SAML.

Ce message s'affiche lorsqu'un certificat de signature ne figure pas dans l'application SAML dans le domaine d'identité.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Accéder aux informations SSO de l'application SAML à vérifier.
  4. Vérifiez le champ Certificat de signature et, si ce champ est vide, téléchargez le certificat reçu du fournisseur de services.

La vérification de la signature de requête d'URL a échoué pour le partenaire [partner_name]. Le certificat du partenaire distant peut nécessiter une mise à jour

Téléchargez le certificat de sécurité en cours vers l'application SAML.

Ce message s'affiche lorsqu'un certificat de signature dans IDCS a expiré ou ne peut pas être vérifié.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Accéder aux informations SSO de l'application SAML à vérifier.
  4. Téléchargez un certificat en cours reçu du fournisseur de services.

Echec de la vérification de signature pour le partenaire [partner_name]. Le certificat du fournisseur distant doit peut-être être mis à jour

Téléchargez le certificat de sécurité en cours vers l'application SAML.

Ce message s'affiche lorsqu'un certificat de signature dans un domaine d'identité a expiré ou ne peut pas être vérifié.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Fédération, puis Fournisseurs d'identités.
  3. Sélectionnez le menu Actions (trois points) du fournisseur d'identités à mettre à jour.
  4. Sélectionnez Modifier. Une fenêtre affichant les paramètres de configuration du fournisseur d'identités apparaît.
  5. Si vous avez téléchargé des métadonnées à partir de IdP, obtenez et téléchargez les métadonnées en cours.
  6. Si vous avez saisi manuellement les métadonnées IdP, obtenez et téléchargez un nouveau certificat de signature à partir de IdP.

Aucun utilisateur renvoyé par la stratégie de corrélation

Les utilisateurs indiqués dans l'assertion SAML doivent exister dans la banque de données du fournisseur de services et le mécanisme de corrélation utilisateur dans la ressource IdP doit être configuré correctement.

Ce message s'affiche pour une des deux raisons suivantes :
  • L'utilisateur spécifié n'a pas été ajouté au fournisseur de services. Accédez au domaine et ajoutez-les.
  • La configuration du mécanisme de corrélation utilisateur dans la ressource IdP est incorrecte. Vérifiez qu'un utilisateur dispose du mécanisme de corrélation défini dans la ressource IdP.

Aucun utilisateur trouvé dans la banque de données du fournisseur de services pour la stratégie de corrélation définie

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Utilisateurs.
  3. Vérifiez que l'utilisateur spécifié figure dans la liste des utilisateurs. Sinon, créez un utilisateur ou utilisez Just in Time (JIT) ou System for Cross-domain Identity Management (SCIM) pour provisionner l'utilisateur.

Problème de politique de corrélation

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Ensuite, sélectionnez Sécurité, puis Fournisseurs d'identités.
  3. Vérifiez que la configuration de l'attribut/de l'ID nom d'assertion SAML correspond à l'utilisateur défini dans la banque d'identités du fournisseur de services. Si des configurations de provisionnement sont activées, telles que JIT/SCIM, vérifiez-les également.

Plusieurs utilisateurs renvoyés via la stratégie de corrélation

Le mécanisme de corrélation utilisateur dans la ressource IdP doit être configuré correctement.

Ce message s'affiche si l'ID nom d'assertion SAML ou la configuration d'attribut d'assertion SAML correspond de manière incorrecte à plusieurs utilisateurs.

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Ensuite, sélectionnez Sécurité, puis Fournisseurs d'identités.
  3. Vérifiez l'ID nom d'assertion SAML ou la configuration d'attribut d'assertion SAML. Il peut correspondre à plusieurs utilisateurs dans la banque d'identités.

Le partenaire de fédération saml-app n'est pas activé

Activez l'application saml désactivée.

Ce problème se produit lorsque l'application SAML configurée à la fin du fournisseur d'identités n'est pas activée

  1. Ouvrez le menu de navigation et sélectionnez Sécurité des identités. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Applications intégrées.
  3. Vérifiez que l'application SAML en cours de vérification est activée. Sinon, sélectionnez Activer.