Documentazione dell'infrastruttura Oracle Cloud

Errori di login SAML

Identificare i messaggi di errore di login SAML e scoprire i passi per risolverli.

Nota

Gli errori di login SAML sono destinati a un amministratore del servizio che consente di risolvere i problemi di accesso. Se non si è amministratori e si riscontrano problemi di accesso, contattare l'amministratore del servizio. Per assistenza su come contattare l'amministratore, vedere Contattare l'amministratore nella sezione Contattare l'assistenza.

Gli errori di login SAML vengono visualizzati quando si verifica un problema con i metadati o quando un certificato di sicurezza manca o non viene convalidato. Per correggere, accedere, confrontare e correggere i metadati o fornire certificati correnti dal provider di servizi.

Partner della federazione [partner_name] non riconosciuto

Confrontare i metadati Single Sign-On dell'applicazione con i metadati del provider del dominio di Identity per assicurarsi che corrispondano.

Questo messaggio viene visualizzato se si è verificata una configurazione errata durante l'impostazione di SAML come provider di identità o provider di servizi. Se i domini di Identity sono il provider di identità (IdP), la relativa configurazione deve corrispondere ai metadati ottenuti dal provider di servizi (SP). Se i domini di Identity sono il provider di servizi, la relativa configurazione deve corrispondere ai metadati ottenuti dal provider di identità.

Identity Domains è il provider di identità (IdP)

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato, Selezionare quindi Applicazioni integrate.
  3. Accedere alle informazioni SSO dell'applicazione SAML in fase di verifica.
  4. Accedere ai metadati del provider dei domini di Identity del provider di servizi online all'indirizzo https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  5. Confrontare entityID e AssertionConsumerService con le informazioni SSO dai metadati e assicurarsi che corrispondano.
  6. Se è abilitato il logout singolo, confrontare SingleLogoutService e ResponseLocation e assicurarsi che corrispondano.
  7. Correggere eventuali mancate corrispondenze.

I domini di Identity sono il provider di servizi (SP)

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato, Selezionare quindi Sicurezza, quindi Provider di identità.
  3. Accedere ai metadati dei domini di Identity del provider di identità online all'indirizzo https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  4. Se sono stati caricati metadati da IdP, assicurarsi di aver caricato il file di metadati corretto.
  5. Se sono stati immessi manualmente i metadati IdP, assicurarsi che entityID e AssertionConsumerService corrispondano ai metadati IdP.
  6. Se è abilitato il logout singolo, confrontare SingleLogoutService e ResponseLocation e assicurarsi che corrispondano.
  7. Correggere eventuali mancate corrispondenze.

Certificato mancante durante il tentativo di verifica della firma digitale in entrata per i partner [partner_name]

Caricare il certificato di sicurezza mancante nell'applicazione SAML.

Questo messaggio viene visualizzato quando un certificato di firma non si trova nell'applicazione SAML nel dominio di Identity.

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato, Selezionare quindi Applicazioni integrate.
  3. Accedere alle informazioni SSO dell'applicazione SAML in fase di verifica.
  4. Selezionare il campo Certificato di firma e, se vuoto, caricare il certificato ricevuto dal provider di servizi.

Verifica delle firme della query URL non riuscita per il partner [partner_name]. Potrebbe essere necessario aggiornare il certificato del partner remoto

Caricare il certificato di sicurezza corrente nell'applicazione SAML.

Questo messaggio viene visualizzato quando un certificato di firma in IDCS è scaduto o non può essere verificato.

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato, Selezionare quindi Applicazioni integrate.
  3. Accedere alle informazioni SSO dell'applicazione SAML in fase di verifica.
  4. Caricare un certificato corrente ricevuto dal provider di servizi.

Verifica della firma non riuscita per il partner [partner_name]. Potrebbe essere necessario aggiornare il certificato del provider remoto

Caricare il certificato di sicurezza corrente nell'applicazione SAML.

Questo messaggio viene visualizzato quando un certificato di firma in un dominio di Identity è scaduto o non può essere verificato.

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato, Selezionare quindi Federazione, quindi Provider di identità.
  3. Selezionare il menu Azioni (tre puntini) per il provider di identità che si desidera aggiornare.
  4. Selezionare Modifica. Viene visualizzata una finestra che visualizza le impostazioni di configurazione per IdP.
  5. Se sono stati caricati metadati dall'indirizzo IdP, ottenere e caricare i metadati correnti.
  6. Se sono stati immessi manualmente i metadati IdP, ottenere e caricare un nuovo certificato di firma da IdP.

Nessun utente restituito tramite il criterio di correlazione

Gli utenti specificati nell'asserzione SAML devono esistere nel data store del provider di servizi e il meccanismo di correlazione degli utenti nella risorsa IdP deve essere impostato correttamente.

Questo messaggio viene visualizzato per uno dei due motivi riportati di seguito.
  • L'utente specificato non è stato aggiunto al provider di servizi. Passare al dominio e aggiungerli.
  • Il meccanismo di correlazione dell'utente nella risorsa IdP non è stato impostato correttamente. Verificare che esista un utente con il meccanismo di correlazione definito nella risorsa IdP.

Nessun utente trovato nel data store del provider di servizi per il criterio di correlazione definito

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato, Selezionare quindi Utenti.
  3. Verificare che l'utente specificato sia incluso nell'elenco degli utenti. In caso contrario, creare un nuovo utente o utilizzare Just in Time (JIT) o System for Cross-domain Identity Management (SCIM) per eseguire il provisioning dell'utente.

Problema della politica di correlazione

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato, Selezionare quindi Sicurezza, quindi Provider di identità.
  3. Verificare che la configurazione dell'attributo di asserzione SAML/ID nome corrisponda all'utente definito nell'area di memorizzazione delle identità del provider di servizi. Oppure, se sono abilitate configurazioni di provisioning come JIT/SCIM, verificarle anche.

Più utenti restituiti tramite criteri di correlazione

Il meccanismo di correlazione degli utenti nella risorsa IdP deve essere impostato correttamente.

Questo messaggio viene visualizzato se la configurazione dell'attributo ID nome asserzione SAML o asserzione SAML corrisponde in modo errato a più utenti.

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato, Selezionare quindi Sicurezza, quindi Provider di identità.
  3. Verificare la configurazione dell'ID nome asserzione SAML o dell'attributo di asserzione SAML. Potrebbe corrispondere a più utenti nell'area di memorizzazione delle identità.

L'applicazione saml partner Federation non è abilitata

Attivare l'app saml disabilitata.

Questo problema si verifica quando l'applicazione SAML configurata alla fine dell'IDP non è attivata

  1. Aprire il menu di navigazione e selezionare Sicurezza identità. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Applicazioni integrate.
  3. Assicurarsi che l'applicazione SAML in fase di verifica sia attivata. In caso contrario, selezionare Attiva.