Errori di login SAML
Identificare i messaggi di errore di login SAML e apprendere i passi per risolverli.
Gli errori di login SAML sono destinati a un amministratore del servizio per facilitare la risoluzione dei problemi di accesso. Se non si è un amministratore e si riscontrano problemi di accesso, contattare l'amministratore del servizio. Per assistenza, contattare l'amministratore. Vedere Contattare l'amministratore nella sezione Contattare l'assistenza.
Gli errori di login SAML vengono visualizzati quando si verifica un problema con i metadati o quando un certificato di sicurezza risulta mancante o non viene convalidato. Per correggere, accedere, confrontare e correggere i metadati o fornire i certificati correnti dal provider di servizi.
- Il partner della Federazione [partner_name] non è riconosciuto
- Certificato mancante durante il tentativo di verifica della firma digitale in entrata per il partner [partner_name]
- Verifica della firma della query URL non riuscita per il partner [partner_name]. Potrebbe essere necessario aggiornare il certificato fornito dal partner remoto
- Verifica della firma non riuscita per il partner [partner_name]. Potrebbe essere necessario aggiornare il certificato fornito dal provider remoto
- Nessun utente restituito tramite criteri di correlazione
- Più utenti restituiti tramite criterio di correlazione
- L'applicazione saml partner federazione non è abilitata
Il partner della Federazione [partner_name] non è riconosciuto
Confrontare i metadati Single Sign-On dell'applicazione con i metadati del provider del dominio di Identity per assicurarsi che corrispondano.
Questo messaggio viene visualizzato se si è verificata una configurazione errata durante l'impostazione di SAML come provider di identità o di servizi. Se i domini di Identity sono il provider di identità (IdP), la relativa configurazione deve corrispondere ai metadati ottenuti dal provider di servizi (SP). Se i domini di Identity sono il provider di servizi, la relativa configurazione deve corrispondere ai metadati ottenuti dal provider di identità.
I domini di Identity sono il provider di identità (IdP)
- Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
- Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Applicazioni integrate.
- Accedere alle informazioni SSO dell'applicazione SAML in fase di verifica.
-
Accedere ai metadati del provider dei domini di Identity del provider di servizi online all'indirizzo
https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata
. - Confrontare entityID e AssertionConsumerService con le informazioni SSO dei metadati e assicurarsi che corrispondano.
- Se è abilitato il logout singolo, confrontare SingleLogoutService e ResponseLocation e assicurarsi che corrispondano.
- Correggere eventuali mancate corrispondenze.
I domini di Identity sono il provider di servizi (SP)
- Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
- Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Sicurezza, quindi Provider di identità.
-
Accedere ai metadati dei domini di Identity del provider di identità in linea all'indirizzo
https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata
. - Se sono stati caricati metadati dal file IdP, assicurarsi di aver caricato il file di metadati corretto.
- Se sono stati immessi manualmente i metadati IdP, assicurarsi che entityID e AssertionConsumerService corrispondano ai metadati IdP.
- Se è abilitato il logout singolo, confrontare SingleLogoutService e ResponseLocation e assicurarsi che corrispondano.
- Correggere eventuali mancate corrispondenze.
Certificato mancante durante il tentativo di verifica della firma digitale in entrata per il partner [partner_name]
Caricare il certificato di sicurezza mancante nell'applicazione SAML.
Questo messaggio viene visualizzato quando un certificato di firma non si trova nell'applicazione SAML nel dominio di Identity.
- Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
- Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Applicazioni integrate.
- Accedere alle informazioni SSO dell'applicazione SAML in fase di verifica.
- Selezionare il campo Certificato di firma e, se vuoto, caricare il certificato ricevuto dal provider di servizi.
Verifica della firma query URL non riuscita per il partner [partner_name]. Potrebbe essere necessario aggiornare il certificato del partner remoto
Caricare il certificato di sicurezza corrente nell'applicazione SAML.
Questo messaggio viene visualizzato quando un certificato di firma in IDCS è scaduto o non può essere verificato.
- Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
- Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Applicazioni integrate.
- Accedere alle informazioni SSO dell'applicazione SAML in fase di verifica.
- Caricare un certificato corrente ricevuto dal provider di servizi.
Verifica della firma non riuscita per il partner [partner_name]. È possibile che il certificato fornito dal provider remoto debba essere aggiornato
Caricare il certificato di sicurezza corrente nell'applicazione SAML.
Questo messaggio viene visualizzato quando un certificato di firma in un dominio di Identity è scaduto o non può essere verificato.
- Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
- Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Sicurezza, quindi Provider di identità.
- Selezionare il menu (menu Azioni) per il provider di identità che si desidera aggiornare.
- Selezionare Modifica IdP. Viene visualizzata una finestra che visualizza le impostazioni di configurazione per IdP.
- Se i metadati sono stati caricati da IdP, ottenere e caricare i metadati correnti.
- Se sono stati immessi manualmente i metadati IdP, ottenere e caricare un nuovo certificato di firma dal provider di identità.
Nessun utente restituito tramite criteri di correlazione
Gli utenti specificati nell'asserzione SAML devono esistere nel data store del provider di servizi e il meccanismo di correlazione utente nella risorsa IdP deve essere impostato correttamente.
- L'utente specificato non è stato aggiunto al provider di servizi. Passare al dominio e aggiungerli.
- Il meccanismo di correlazione utente nella risorsa IdP è impostato in modo errato. Verificare che esista un utente con il meccanismo di correlazione definito nella risorsa IdP.
Nessun utente trovato nel data store del provider di servizi per il criterio di correlazione definito
- Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
- Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Users.
- Verificare che l'utente specificato si trovi nella lista di utenti. In caso contrario, creare un nuovo utente o utilizzare JIT (Just in Time) o SCIM (System for Cross-domain Identity Management) per eseguire il provisioning dell'utente.
Questione di politica di correlazione
- Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
- Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Sicurezza, quindi Provider di identità.
- Verificare che la configurazione dell'attributo di asserzione SAML o dell'ID nome corrisponda all'utente definito nell'area di memorizzazione delle identità del provider di servizi. In alternativa, se sono abilitate configurazioni di provisioning quali JIT/SCIM, verificarle.
Più utenti restituiti tramite criterio di correlazione
Il meccanismo di correlazione utente nella risorsa IdP deve essere impostato correttamente.
Questo messaggio viene visualizzato se l'ID nome asserzione SAML o la configurazione dell'attributo di asserzione SAML non corrisponde correttamente a più utenti.
- Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
- Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Sicurezza, quindi Provider di identità.
- Verificare la configurazione dell'ID nome dell'asserzione SAML o dell'attributo di asserzione SAML. Potrebbe corrispondere a più utenti nell'area di memorizzazione delle identità.
L'applicazione saml partner federazione non è abilitata
Attivare l'applicazione saml disabilitata.
Questo problema si verifica quando l'applicazione SAML configurata all'estremità IDP non viene attivata
- Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
- Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Applicazioni integrate.
- Assicurarsi che l'applicazione SAML in fase di verifica sia attivata. In caso contrario, selezionare Attiva.