Errori di login SAML

Identificare i messaggi di errore di login SAML e apprendere i passi per risolverli.

Nota

Gli errori di login SAML sono destinati a un amministratore del servizio per facilitare la risoluzione dei problemi di accesso. Se non si è un amministratore e si riscontrano problemi di accesso, contattare l'amministratore del servizio. Per assistenza, contattare l'amministratore. Vedere Contattare l'amministratore nella sezione Contattare l'assistenza.

Gli errori di login SAML vengono visualizzati quando si verifica un problema con i metadati o quando un certificato di sicurezza risulta mancante o non viene convalidato. Per correggere, accedere, confrontare e correggere i metadati o fornire i certificati correnti dal provider di servizi.

Il partner della Federazione [partner_name] non è riconosciuto

Confrontare i metadati Single Sign-On dell'applicazione con i metadati del provider del dominio di Identity per assicurarsi che corrispondano.

Questo messaggio viene visualizzato se si è verificata una configurazione errata durante l'impostazione di SAML come provider di identità o di servizi. Se i domini di Identity sono il provider di identità (IdP), la relativa configurazione deve corrispondere ai metadati ottenuti dal provider di servizi (SP). Se i domini di Identity sono il provider di servizi, la relativa configurazione deve corrispondere ai metadati ottenuti dal provider di identità.

I domini di Identity sono il provider di identità (IdP)

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Applicazioni integrate.
  3. Accedere alle informazioni SSO dell'applicazione SAML in fase di verifica.
  4. Accedere ai metadati del provider dei domini di Identity del provider di servizi online all'indirizzo https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  5. Confrontare entityID e AssertionConsumerService con le informazioni SSO dei metadati e assicurarsi che corrispondano.
  6. Se è abilitato il logout singolo, confrontare SingleLogoutService e ResponseLocation e assicurarsi che corrispondano.
  7. Correggere eventuali mancate corrispondenze.

I domini di Identity sono il provider di servizi (SP)

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Sicurezza, quindi Provider di identità.
  3. Accedere ai metadati dei domini di Identity del provider di identità in linea all'indirizzo https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  4. Se sono stati caricati metadati dal file IdP, assicurarsi di aver caricato il file di metadati corretto.
  5. Se sono stati immessi manualmente i metadati IdP, assicurarsi che entityID e AssertionConsumerService corrispondano ai metadati IdP.
  6. Se è abilitato il logout singolo, confrontare SingleLogoutService e ResponseLocation e assicurarsi che corrispondano.
  7. Correggere eventuali mancate corrispondenze.

Certificato mancante durante il tentativo di verifica della firma digitale in entrata per il partner [partner_name]

Caricare il certificato di sicurezza mancante nell'applicazione SAML.

Questo messaggio viene visualizzato quando un certificato di firma non si trova nell'applicazione SAML nel dominio di Identity.

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Applicazioni integrate.
  3. Accedere alle informazioni SSO dell'applicazione SAML in fase di verifica.
  4. Selezionare il campo Certificato di firma e, se vuoto, caricare il certificato ricevuto dal provider di servizi.

Verifica della firma query URL non riuscita per il partner [partner_name]. Potrebbe essere necessario aggiornare il certificato del partner remoto

Caricare il certificato di sicurezza corrente nell'applicazione SAML.

Questo messaggio viene visualizzato quando un certificato di firma in IDCS è scaduto o non può essere verificato.

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Applicazioni integrate.
  3. Accedere alle informazioni SSO dell'applicazione SAML in fase di verifica.
  4. Caricare un certificato corrente ricevuto dal provider di servizi.

Verifica della firma non riuscita per il partner [partner_name]. È possibile che il certificato fornito dal provider remoto debba essere aggiornato

Caricare il certificato di sicurezza corrente nell'applicazione SAML.

Questo messaggio viene visualizzato quando un certificato di firma in un dominio di Identity è scaduto o non può essere verificato.

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Sicurezza, quindi Provider di identità.
  3. Selezionare il menu Azioni (tre puntini) (menu Azioni) per il provider di identità che si desidera aggiornare.
  4. Selezionare Modifica IdP. Viene visualizzata una finestra che visualizza le impostazioni di configurazione per IdP.
  5. Se i metadati sono stati caricati da IdP, ottenere e caricare i metadati correnti.
  6. Se sono stati immessi manualmente i metadati IdP, ottenere e caricare un nuovo certificato di firma dal provider di identità.

Nessun utente restituito tramite criteri di correlazione

Gli utenti specificati nell'asserzione SAML devono esistere nel data store del provider di servizi e il meccanismo di correlazione utente nella risorsa IdP deve essere impostato correttamente.

Questo messaggio viene visualizzato per uno dei due motivi riportati di seguito.
  • L'utente specificato non è stato aggiunto al provider di servizi. Passare al dominio e aggiungerli.
  • Il meccanismo di correlazione utente nella risorsa IdP è impostato in modo errato. Verificare che esista un utente con il meccanismo di correlazione definito nella risorsa IdP.

Nessun utente trovato nel data store del provider di servizi per il criterio di correlazione definito

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Users.
  3. Verificare che l'utente specificato si trovi nella lista di utenti. In caso contrario, creare un nuovo utente o utilizzare JIT (Just in Time) o SCIM (System for Cross-domain Identity Management) per eseguire il provisioning dell'utente.

Questione di politica di correlazione

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Sicurezza, quindi Provider di identità.
  3. Verificare che la configurazione dell'attributo di asserzione SAML o dell'ID nome corrisponda all'utente definito nell'area di memorizzazione delle identità del provider di servizi. In alternativa, se sono abilitate configurazioni di provisioning quali JIT/SCIM, verificarle.

Più utenti restituiti tramite criterio di correlazione

Il meccanismo di correlazione utente nella risorsa IdP deve essere impostato correttamente.

Questo messaggio viene visualizzato se l'ID nome asserzione SAML o la configurazione dell'attributo di asserzione SAML non corrisponde correttamente a più utenti.

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Sicurezza, quindi Provider di identità.
  3. Verificare la configurazione dell'ID nome dell'asserzione SAML o dell'attributo di asserzione SAML. Potrebbe corrispondere a più utenti nell'area di memorizzazione delle identità.

L'applicazione saml partner federazione non è abilitata

Attivare l'applicazione saml disabilitata.

Questo problema si verifica quando l'applicazione SAML configurata all'estremità IDP non viene attivata

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Applicazioni integrate.
  3. Assicurarsi che l'applicazione SAML in fase di verifica sia attivata. In caso contrario, selezionare Attiva.