Workiva kann kurze SAML-bezogene Meldungen aufzeichnen, wenn Anmelde- oder Konfigurationsschritte fehlschlagen. Verwenden Sie die in den folgenden Tabellen aufgeführten Nachrichtentexte, um im SAML-Aktivitätsprotokoll oder in den Support-Tickets Ihrer Organisation zu suchen. Die Nachrichten können Ihren SAML-Konfigurationsnamen, Benutzernamen oder andere Werte enthalten, die durch Platzhalter wie {name} dargestellt werden.
Konsultieren Sie anschließend die häufigsten Ursachen der Fehlermeldung und arbeiten Sie mit Ihrem IT-Team oder dem Workiva-Support zusammen, um die Fehler zu beheben.
Hinweis : Enthält die Nachricht „SAML Consumer“ oder „Saml Logout“, stammt dieser Text aus dem SAML-Verarbeitungsschritt
. Das zugrundeliegende Problem liegt üblicherweise bei den Zertifikaten , derAntwortstrukturoder der Workiva -Konfiguration.
Benutzer, Konten und Zuordnung
| Meldung | Was es bedeutet | Häufige Ursachen |
| SAML-Authentifizierung für Benutzer {user} (SAML-ID {samlId}) fehlgeschlagen. Benutzer wurde ausgesetzt. | Der Identitätsanbieter hat den Benutzer authentifiziert, aber das Workiva-Konto ist gesperrt. |
Administrator hat den Benutzer gesperrt; Compliance-Maßnahmen wurden eingeleitet.
|
| Die SAML-Authentifizierung ist aufgrund eines Fehlers bei der Assertion-Validierung fehlgeschlagen ({detail}). | Die Validierung der Assertion ist fehlgeschlagen; Details können die Regel benennen (variiert). | Zielgruppe/Empfänger stimmen nicht überein; Bedingung nicht erfüllt; Fehler bei der benutzerdefinierten Validierung. |
| SAML-Authentifizierung für Benutzer {user} (SAML-ID {samlId}) fehlgeschlagen. Die Benutzer-IP-Adresse befindet sich nicht auf der Zulassungsliste. | Diese Anmeldung wurde durch die IP-Whitelist blockiert. |
VPN deaktiviert; neue Büro-IP; Whitelist nicht aktualisiert.
|
| Der nicht authentifizierte Benutzer {username} kann außerhalb seines primären Kontos/seiner primären Organisation keiner SAML-ID {samlId} zugeordnet werden. | Ein Benutzer existiert an anderer Stelle, kann aber in diesem Kontext nicht über SAML mit dieser Organisation verbunden werden. |
Falsche Organisations-URL; die Heimatorganisation des Benutzers weicht ab; organisationsübergreifender Anmeldeversuch.
(Wenden Sie sich an den Support, um Hilfe bei der Lösung dieses Problems zu erhalten) |
| SAML-Zuordnung für Benutzer {displayName} fehlgeschlagen | Die Verknüpfung des Workiva-Benutzers mit der SAML-ID ist fehlgeschlagen. | Doppelte SAML-ID; ungültige Zeichen; Geschäftsregeln für das Mapping. |
| Anmeldeversuch von einer nicht zugeordneten SAML-ID {samlId}. Erwägen Sie, diese SAML-ID für den entsprechenden Wdesk-Benutzer zu konfigurieren. | SSO ist für die Organisation erforderlich, aber diese NameID ist keinem Benutzer zugeordnet. |
Neuer Mitarbeiter nicht bereitgestellt; Tippfehler in der SAML-ID; falsches IdP-Verzeichnis für diese Organisation.
(Siehe Abschnitt unten für Schritte zur Behebung dieses Fehlers) |
| Neuer SAML-Benutzer für SAML-ID {samlId} - Weiterleitung zur Anmeldung, um die SAML-Initialisierung abzuschließen | Ablauf für SAML-Erstbenutzer: Der Benutzer muss die Einrichtung nach der Anmeldung beim Identitätsanbieter abschließen. | Erwartet beim ersten SAML-Login, wenn SSO nicht erforderlich ist; Benutzer vervollständigt die Zuordnung. |
SSO-Anmeldefehler beheben
Wenn sich ein Benutzer nicht per SSO anmelden kann, liegt dies möglicherweise an einer fehlerhaften Benutzerzuordnung. Um dies zu beheben:
- Versuchen Sie, Datum und Uhrzeit des fehlgeschlagenen SSO-Versuchs zu ermitteln.
- Scrollen Sie im Aktivitätsprotokoll durch die Tabelle, um zu den Protokollen zu gelangen, die zum Zeitpunkt des fehlgeschlagenen SSO-Versuchs aufgetreten sind.
- Suchen Sie nach der Meldung "Anmeldeversuch von nicht zugeordneter SAML-ID {samlId}". Erwägen Sie, diese SAML-ID für den entsprechenden Wdesk-Benutzer zu konfigurieren." ({samlId} ist ein Platzhalter für die spezifische SAML-ID Ihres Benutzers.)
- Nehmen Sie den Wert von {samlId} und navigieren Sie zum Abschnitt Benutzerzuordnung Ihrer SSO-Konfiguration.
- Suchen Sie in der Tabelle unter der Spalte Benutzername nach Ihrem Benutzernamen.
- Doppelklicken Sie in der Tabelle auf das Feld „SSO-ID“ neben dem Benutzer und geben Sie den Wert von {samlId} ein, den Sie aus dem Aktivitätsprotokoll erhalten haben.
- Klicken Sie auf Konfiguration speichern.
- Bitten Sie den Benutzer, sich erneut per SSO anzumelden.
Anmelde- und SAML-Antwortverarbeitung
| Meldung | Was es bedeutet | Häufige Ursachen |
| Fehler beim Deserialisieren der Authentifizierungsanfrage. | Der Browser oder der Identitätsanbieter (IdP) hat Daten gesendet, die der Dienst nicht als gültige SAML-Anfrage lesen konnte. | Abgeschnittene oder beschädigte Anfrage; Proxy entfernt POST-Body; sehr alte oder nicht-SAML POST-Anfrage an die Login-URL. |
| Es wurde ein ungültiges XML-Objekt empfangen. Die Antwortdaten sind fehlerhaft oder unvollständig. | Die SAML-Antwort-XML konnte nicht analysiert werden oder wurde abgeschnitten. | Fehlkonfiguration des Identitätsanbieters; Load Balancer oder Proxy verändern die Antwort; Netzwerkunterbrechung; eingefügtes/bearbeitetes XML in Tests. |
| Die SAML-Assertion ist ungültig. | Die Behauptung ist vor der Benutzerzuordnung bei Struktur- oder Richtlinienprüfungen fehlgeschlagen. | Zeitabweichung; falsche Zielgruppe; Behauptung abgelaufen; fehlerhafter Behauptungsinhalt. |
| (Der Text variiert – enthält oft technische Details aus invalid_response / invalid_destination) | Irgendetwas in der SAML-Antwort entsprach nicht den Erwartungen von Workiva (Ziel, Struktur usw.). | ACS-URL stimmt nicht überein; falsche Entitäts-ID; Antwort an die falsche Umgebung gesendet; IdP sendet einen Fehlerstatus ohne verwendbare Assertion. |
| Die Signatur der Antwort oder Assertion war ungültig… Die in Wdesk konfigurierten X.509-Zertifikate stimmen mit dem Zertifikat Ihres Identitätsanbieters überein. | Die Überprüfung der kryptografischen Signatur ist fehlgeschlagen. |
Der Identitätsanbieter hat das Signaturzertifikat gewechselt, aber Workiva verwendet immer noch das alte Zertifikat; falsches Zertifikat in Workiva eingefügt; Signierung auf dem falschen Element; mehrere Zertifikate und der Identitätsanbieter verwendet nicht das erwartete.
|
| Fehlender oder leerer SAML-Namensbezeichner | Das Feld NameID (oder ein entsprechendes Subjekt) fehlte oder war leer. | Der Identitätsanbieter gibt die NameID nicht frei; das Mapping sendet einen leeren Wert; beim Identitätsanbieter wurde das falsche NameID-Format ausgewählt. |
| Fehler beim Entschlüsseln einer Assertion oder NameID. | Verschlüsselte SAML-Inhalte konnten mit Ihren SP-Einstellungen nicht entschlüsselt werden. | Verschlüsselungszertifikat stimmt nicht überein; IdP verschlüsselt mit einem Zertifikat, über das Workiva nicht verfügt; beschädigter Chiffretext. |
| Der Aussteller der Assertion stimmt nicht mit dem in Wdesk konfigurierten Aussteller überein. | Der Aussteller in der SAML-Nachricht stimmt nicht mit Ihrer SAML-Konfiguration überein. |
Tippfehler in der Aussteller-URL; Identitätsanbieter verwendet Alias „Aussteller“; Staging- vs. Produktions-Identitätsanbieter.
(Überprüfen Sie dieses Protokoll auf die Anfragedetails, um Ihnen bei der Behebung des SSO-Konfigurationsproblems zu helfen.) |
| Die SAML-Konfiguration für die Anfrage konnte nicht gefunden werden. | Für diese Anfrage konnte keine SAML-Konfiguration gefunden werden (Registrierung nicht gefunden). | Falscher URL-Pfad / falsche SAML-Konfigurations-ID; deaktivierte oder gelöschte Konfiguration; Lesezeichen für alte URL. |
| Im SAML-Consumer ist ein Fehler aufgetreten… (generisch) | Die Anmeldung ist auf eine Weise fehlgeschlagen, die keinem der oben genannten spezifischen SAML-Codes zugeordnet ist. | Ungewöhnliches IdP-Verhalten; vorübergehender Integrationsfehler; der nächste Schritt wäre ein HAR- oder IdP-Anmeldeprotokoll zusammen mit dieser Meldung. |
| Beim Saml-Logout ist ein Fehler aufgetreten… (generisch) | Die Abmeldeanforderung ist auf eine Weise fehlgeschlagen, die keinem spezifischen Code zugeordnet werden kann. | Gleiches Prinzip wie beim Konsumenten: IdP-Logout-Protokoll und Korrelationszeit erfassen. |
Zertifikate (Signierung / Validierung)
| Meldung | Was es bedeutet | Häufige Ursachen |
| Das X509-Zertifikat ist falsch formatiert oder abgelaufen. Falls aktiviert, wird das alternative X509-Zertifikat verwendet. | Das primäre IdP-Signaturzertifikat in Workiva ist ungültig oder abgelaufen; das System kann auf ein alternatives Zertifikat zurückgreifen. | Abgelaufenes Zertifikat; PEM-Formatierungsfehler; zusätzliche Leerzeichen oder fehlende Kopfzeilen. |
| Das Alt X509-Zertifikat ist falsch formatiert oder abgelaufen. | Das alternative Zertifikat ist ebenfalls ungültig oder abgelaufen. | Beide Zertifikate müssen erneuert werden; Fehler beim Kopieren/Einfügen des zweiten Zertifikats. |
| Für die SAML-Konfiguration wurden keine X509-Zertifikate festgelegt. | Weder das primäre noch das alternative Signaturzertifikat wird gespeichert. | Neue Konfiguration; Zertifikate gelöscht; Metadatenimport hat das Zertifikat nicht aktualisiert. |
Antwortform, Behauptungen und „eingebundene“ Antworten
| Meldung | Was es bedeutet | Häufige Ursachen |
| Potenzieller XSW erkannt: Antwortelement nicht gefunden | Die SAML-Nutzlast enthielt kein einziges normales<Response> Root wie erwartet. | Fehlerhaftes XML; ungewöhnliche IdP-Paketierung; Manipulationsversuch; defekte Middleware. |
| Potenzieller XSW erkannt: Mehrere Antwortelemente gefunden | Mehrere SAML-Antworten in der Nutzlast. | Seltener IdP-Fehler; verkettete Antworten; fehlerhafte Zusammenführung der Antworttexte durch den Proxy. |
| Es wurde kein Assertion-Element gefunden... Überprüfen Sie die SAML-Antwort Ihres Identitätsanbieters auf StatusCode-Authentifizierungsfehler. | Es gab keine Aufforderung, den Benutzer anzumelden – oft eine Ablehnung seitens des Identitätsanbieters. | Falsches Passwort; MFA fehlgeschlagen; IdP-Richtlinie verweigert Benutzer; Benutzer ist auf IdP-Seite nicht lizenziert. |
| Potenzieller XSW-Angriff erkannt: Mehrere Assertion- und EncryptedAssertion-Elemente erkannt | Sowohl Klartext- als auch verschlüsselte Aussagen vorhanden (nicht zulässig). | Ungewöhnliche IdP-Konfiguration; Anpassung sendet doppelte Inhalte. |
| Potenzieller XSW-Angriff erkannt: Mehrere Assertions erkannt – Wdesk lässt nur eine zu. | Mehrere Behauptungen in einer Antwort. | IdP sendet gruppierte Assertions; Föderationsaggregatoren. |
| Potenzieller XSW-Angriff erkannt: Mehrere verschlüsselte Assertions erkannt – Wdesk lässt nur eine zu. | Mehrere verschlüsselte Behauptungen. | Gleiche Ursachenfamilie wie mehrere Behauptungen. |
*„XSW“ bezieht sich auf verdächtige Antwortmuster, die der Dienst aus Sicherheitsgründen blockiert.
Workiva-Konfiguration und URLs
| Meldung | Was es bedeutet | Häufige Ursachen |
| Es konnte keine SAML-Konfiguration für die ID {id} gefunden werden. | Für diesen Bezeichner existiert kein SAML-Datensatz. | Falsche {id} in der URL; Konfiguration gelöscht; Tippfehler im Link oder in der Integration. |
| Die SAML-Konfiguration {name} ist derzeit nicht aktiviert und kann nicht zur Authentifizierung verwendet werden. | SAML ist vorhanden, aber für diese Organisation deaktiviert. | Administrator hat SAML deaktiviert; Änderungen werden eingefroren; ein anderer Identitätsanbieter wird getestet. |
| Die SAML-Konfiguration {name} ist nicht minimal konfiguriert und kann nicht zur Authentifizierung verwendet werden. | Pflichtfelder (z. B. IdP-URL, Bindung oder Zertifikate) sind unvollständig. | Einrichtung nicht abgeschlossen; Metadatenimport unvollständig; Konfigurationsentwurf. |
| Die dieser SAML-Konfiguration {id} zugeordnete Organisation konnte nicht gefunden werden. | Es fehlt eine interne Verknüpfung zwischen der SAML-Konfiguration und der Organisation. | Dateninkonsistenz; der Support muss dies in der Regel untersuchen. |
| Die SAML-Konfiguration, die der angegebenen ID entspricht, enthält keine Logout-Antwort-URL. | Die Abmelde-URL ist nicht dort eingestellt, wo die App sie erwartet. | Abmeldung in der SAML-Konfiguration nicht konfiguriert; Metadaten zur Single-Logout-URL fehlen. |
Subjekt / NameID und Attribute
| Meldung | Was es bedeutet | Häufige Ursachen |
| Das SAML-Subjekt konnte im Element „Attribut Name={name}“ nicht gefunden werden… | Workiva ist so konfiguriert, dass die SAML-ID aus einem bestimmten Attribut gelesen wird, aber dieses Attribut oder diese Anweisung fehlt. | Attribut nicht gesendet; falscher Attributname; Attribut in der Assertion, aber falscher Namespace/falsches Format. |
Abmelden
| Meldung | Was es bedeutet | Häufige Ursachen |
| Fehlender SAMLRequest-Parameter | Der Identitätsanbieter oder der Browser hat den Abmelde-Endpunkt ohne SAML-Abmeldeanforderung aufgerufen. | Falsch konfigurierte IdP-Abmelde-URL; manueller URL-Aufruf; defekter Deep Link. |
| Es konnte keine passende SAML-Konfiguration für die angegebene ID gefunden werden. | Beim Abmelden wurde auf eine unbekannte SAML-Konfiguration verwiesen. | Falsche samlConfig im Pfad oder Parameter. |
Abschluss der SAML-Benutzereinrichtung (nach der ersten IdP-Anmeldung)
| Meldung | Was es bedeutet | Häufige Ursachen |
| SAML-Benutzerinitialisierung fehlgeschlagen – Fehler bei der Validierung des Sicherheitstokens | Das einmalige Einrichtungstoken fehlte, war falsch oder abgelaufen. | Alte Verknüpfung gespeichert; Vorgang dauerte zu lange; Cookie blockiert; Verknüpfung in einem anderen Browser geöffnet. |
| Im SAML-Initialisierungshandler ist ein Fehler aufgetreten... (generisch) | Die Einrichtung ist aus einem unerwarteten Grund fehlgeschlagen. | Bitte versuchen Sie es erneut; falls es wiederholt auftritt, notieren Sie sich bitte Uhrzeit und URL für den Support. |
| (Verschiedene Validierungsmeldungen) | Wird angezeigt, wenn das Erstellen des SAML-Benutzerdatensatzes fehlschlägt (der genaue Text hängt von der Validierung ab). | Beispiel: Die SAML-ID wird bereits von einem anderen Benutzer in der Organisation verwendet. |
Admin: SAML-Metadatenimport (API-/Admin-Abläufe)
| Meldung | Was es bedeutet | Häufige Ursachen |
| Die Metadaten-XML-Datei konnte nicht analysiert werden. | Die Datei ist kein gültiges XML. | Falsche Datei heruntergeladen; HTML-Fehlerseite als .xml gespeichert. |
| IDPSSODescriptor konnte in den Metadaten-XML-Dateien nicht gefunden werden. | Keine IdP-Metadaten (oder falsches Profil). | SP-Metadaten wurden irrtümlich hochgeladen; Datei gekürzt. |
| Es konnte kein X.509-Signaturzertifikat gefunden werden. | Kein Signaturzertifikat in den Metadaten, wo es erwartet wurde. | Metadaten ohne<KeyDescriptor use="signing"> ; ausschließlich verschlüsselte Metadaten. |
| Im Metadaten-XML konnte kein SingleSignOnService gefunden werden. | Kein SSO-Endpunkt deklariert. | Unvollständiger Export vom Identitätsanbieter. |
| Es wurde keine unterstützte SingleSignOnService-Bindung gefunden. | Die SSO-URL ist vorhanden, aber die Bindung wird von Workiva für den Import nicht unterstützt. | Nur ungewöhnliche Bindung; alte IdP-Vorlage. |
| WARNUNG: Ihre Metadatendatei enthält {n} Signaturzertifikate... | Es wurden mehrere Signaturzertifikate erkannt; Sie müssen möglicherweise das richtige manuell auswählen. | IdP-Rotationszeitraum mit mehreren aktiven Zertifikaten. |
Admin: Massenimport von SAML-ID-Dateien
| Meldung | Was es bedeutet | Häufige Ursachen |
| Zeile {n} wird übersprungen, da die SAML-ID und/oder der Wdesk-Benutzername fehlen. | Leere Zellen in dieser Zeile. | In Excel bearbeitete CSV-Datei; nachfolgende leere Zeilen. |
| Zeile {n} wird aufgrund eines doppelten Benutzernamens in der CSV-Datei übersprungen. | Derselbe Workiva-Benutzername erscheint zweimal. | Fehler beim Kopieren/Einfügen in der Tabellenkalkulation. |
| Der Benutzername {name} wurde nicht gefunden oder gehört nicht zu diesem Konto. | Für diese Zeile wurde kein passender Benutzer in der Organisation gefunden. | Tippfehler im Benutzernamen; Benutzer gehört einer anderen Organisation an. |
| Benutzer {name} wird übersprungen, da die primäre Organisation des Benutzers nicht übereinstimmt. | Die Heimatorganisation des Benutzers befindet sich nicht in dieser Domäne. | Falscher Bereich für den Import ausgewählt; Auftragnehmerkonto. |
Sicherheits- und Kontokontrollen
| Meldung | Was es bedeutet | Häufige Ursachen |
| SAML-Anfrage aufgrund von Kontosicherheitsvalidierungsregeln blockiert. | Die Abmeldung oder SAML-Anfrage ist bei einer internen Sicherheitsprüfung für diese Organisation/Konfiguration fehlgeschlagen. | Richtlinien-Engine blockiert; verdächtiges Muster; Support benötigt möglicherweise interne Protokolle. |
Technische Diagnose (supportorientiert)
| Meldung | Was es bedeutet | Häufige Ursachen |
| SAMLResponse: gefolgt von kodierten Daten | Bei einem Fehler in der SAML-Authentifizierung wurde eine unformatierte SAML-Antwort protokolliert, um die Fehlerbehebung mit dem Support zu ermöglichen. | Wird bei bestimmten Fehlern automatisch erfasst; stellt an sich keine „Fehlermeldung“ dar. |