Feilsøke SAML -feil
Spesielt feilsøking av Linux SAML -problemer begynner med å identifisere kilden til problemene. Vanlige problemer inkluderer påloggingsfeil, konfigurasjonsproblemer, tilkoblingsproblemer, autentiseringsproblemer og autorisasjonsproblemer.
Denne artikkelen ser på noen av de viktigste Saml -problemene. I tillegg til å fremheve feilene, vil artikkelen også spesifisere årsaken til problemene, samt hvordan man feilsøker dem.”
Vanlige SAML -feil
SAML -konfigurasjonsfeil
Feilsøking av SAML -konfigurasjonsfeil begynner med å forstå konfigurasjonsmodulene dine. Og blant de tingene du bør vite inkluderer;
- Din IDP og SP- Hvis du bruker Auth0, finn ut om det fungerer som din tjenesteleverandør (SP) eller identitetsleverandøren (IDP). Selvfølgelig kan det også være din IDP og SP samtidig. En SP er et program eller en applikasjon som en bruker har til hensikt å få tilgang til. Det leder hver bruker for autentisering. På den annen side bekrefter en IDP legitimasjonen og sender en validerings- eller avslagsrapport til SP.
- Type godkjenningsmodus- De to typene autentiseringsflytmodus som brukes i SAML er IDP-initierte eller SP-initierte modus. Systemet ditt kan bruke en av de to eller begge av dem. Spesielt vil brukere alltid forsøke å navigere til SP før de blir rettet til IDP, som godkjenner pålogging. Denne typen flyt er en SP-initiert flyt. I den IDP-initierte autentiseringsflyten vil brukerne navigere til IDP og logge inn før de blir omdirigert til SP-programmet eller applikasjonen.
- Type brukerprofilattributt på IDP- Brukerprofilattributtet som IDP bruker når man identifiserer brukeren og attributtet mellom applikasjoner er en annen viktig vurdering. Forsikre deg om at du konfigurerer riktig kartlegging. Spesielt kan du velge å bruke en e -postadresse eller intern ID i bedriftsorganisasjoner.
- Type autentiserende påstander- Det er viktig å sjekke om autentiserende påstandene dine har kryptering.
- Andre hensyn- Andre aspekter du ønsker å se etter når du feilsøker SAML -problemer inkluderer antall berørte brukere, antall applikasjoner utilgjengelige, er problemet som følge av et nytt oppsett eller en gammel bare stoppet, og hvor langt problemet oppstår under den påloggingsprosess.
Blant de vanlige feilene du kan møte når Autho er en tjenesteleverandør (SP) inkluderer;
Tilkobling deaktivert
Når du ikke har en tilknytning til noen aktiv forbindelse, finner du meldingen nedenfor;
Du bør besøke Autho -dashbordet ditt og aktivere minst en applikasjon i tilfelle du opplever dette problemet. Spesielt kan du oppnå dette ved å klikke på autentisering🡺 Enterprise🡺Connection Name🡺Applications. Du finner en liste du kan velge. Hvis du ikke finner en liste, oppretter du en applikasjon og fortsett.
Attributter inResponseto ikke samsvarer med AuthnRequest ID
Denne feilen er ganske vanlig i situasjoner der inResponseto -attributtet ikke samsvarer med AuthnRequest -IDen. Ideelt sett skjer det når Autho -leietakeren din ikke anerkjenner SAML -responsen. De viktigste årsakene kan omfatte blokkerte informasjonskapsler, inkonsekvent domenebruk og uoverensstemmede ID -er.
I tilfelle leietakeren din har et tilpasset domene, er sjansen stor for at du har et misforhold når påloggingen indikerer at systemet ditt begynner på det tilpassede domenet, men avslutter på det komiske domenet. For eksempel, hvis det nedenfor er ditt tilpassede domene;
Men identitetsleverandøren din har en konfigurasjon som returnerer SAML -responsen nedenfor på ACS URL på komiske domener;
En retur av ID -en din til et annet domene i ditt inRespinseto -attributt av SAML -svar innebærer at leietakeren din ikke har noen oversikt over ID -en. Å bruke det samme domenet gjennom autentiseringen din løser dette problemet.
Når IDP-initiert innlogging ikke er aktivert
Når du konfigurerer ACS -URL -en din i identitetsleverandøren eller IDP som brukes i standard leietakerdomenet, og du starter autentiseringsprosessen ved å kalle det tilpassede domenet ved hjelp av /autorisere, vil dette problemet mest sannsynlig oppstå;
Denne feilen oppstår når transaksjonen din ikke har noen RelayState -parameter eller i tilfelle en manglende inResponseto -attributt i SAML -svaret ditt. Du kan alltid sjekke igjen og korrigere anomalien.
Når IDP-initiert standardapplikasjon ikke er konfigurert
I dette tilfellet er dine IDP-initierte strømmer riktig aktivert, men mangler viktig konfigurasjonsinformasjon. Du vil se bildet nedenfor;
Ideelt sett bør ACS -URL -en din ha samme domenenavn som ble brukt under den første forespørselen. Den kan også bruke en tilpasset domene tilbakeringing i tilfelle du bruker tilpassede domener. Feilen kan like godt oppstå hvis autentiseringsflyten mangler en RelayState -parameter eller en inResponseto -attributt.
SAML -konfigurasjonsfeil
HTTP -status 500 feil
Noen ganger kan feilen nedenfor ønsker deg velkommen under konfigurasjon;
Du kan løse feilen ovenfor ved å gjennomgå innstillingene dine. Blant bekymringsområdene kan omfatte å korrigere IDP-URL for den enkle påloggingen som er spesifisert i SAML-fanen, bekrefte den konfigurerte IDP for HTTP-Post, og korrigere IDP-URL-en for den enkle påloggingsprofilen som er spesifisert under opprettelsen av den Sp.
Mislykket pålogging
En mislykket pålogging vil produsere meldingen nedenfor;
Feilen skjer når det er et misforhold i brukernavn. Prøv å matche navnene for å løse dette problemet.
Mislykket pålogging på grunn av en lasting av SSL
Se etter meldingen nedenfor;
Den kan også komme ved siden av meldingen nedenfor fra portalloggene;
Ovennevnte kombinasjon innebærer at systemet ditt har en feilkonfigurasjon av den eksterne proxy som laster ned til serveren.
Konklusjon
Ovennevnte er de bemerkelsesverdige problemene du vil møte når du arbeider med SAML -konfigurasjon og autentisering. Artikkelen belyser de mulige løsningene for hvert problem. Vi håper dette hjelper.