Workiva puede grabar mensajes breves relacionados con SAML cuando fallan los pasos de inicio de sesión o de configuración. Utilice el texto del mensaje que se muestra en las tablas a continuación para buscar en el registro de actividad SAML de su organización o en los tickets de soporte. Los mensajes pueden incluir el nombre de su configuración SAML, el nombre de usuario u otros valores, que están representados por marcadores de posición, como {name}.
A continuación, consulte las causas comunes del mensaje mientras trabaja con su equipo de TI o con el soporte de Workiva para resolver los errores.
Nota: Si el mensaje incluye "SAML Consumer" o "Saml Logout", ese texto proviene del paso de procesamiento SAML; el problema subyacente suele estar relacionado con los certificados, la forma de respuestao la configuración de Workiva.
Usuarios, cuentas y mapeo
| Mensaje | Qué significa | Causas comunes |
| Falló la autenticación SAML para el usuario {user} (ID SAML {samlId}). Se ha suspendido al usuario. | El proveedor de identidad autenticó al usuario, pero la cuenta de Workiva está suspendida. |
El administrador suspendió al usuario; retención por incumplimiento.
|
| La autenticación SAML falló debido a un fallo en la validación de la aserción ({detail}). | La aserción falló la validación; el detalle puede indicar la regla (varía). | Desajuste entre público y destinatario; la condición no se ha cumplido; el validador personalizado ha fallado. |
| Falló la autenticación SAML para el usuario {user} (ID SAML {samlId}). La dirección IP del usuario no está en la lista de permitidos. | La lista negra de direcciones IP bloqueó este inicio de sesión. |
VPN desactivada; nueva IP de oficina; lista de permitidos no actualizada.
|
| El usuario no autenticado {username} no se puede asignar al ID SAML {samlId} fuera de su cuenta/organización principal. | Existe un usuario en otro lugar, pero no se puede vincular a esta organización mediante SAML en este contexto. |
URL de organización incorrecta; la organización de origen del usuario es diferente; intento de inicio de sesión entre organizaciones.
(Contacta con soporte para que te ayuden a resolver esto) |
| La asociación SAML falló para el usuario {displayName}. | La validación para vincular el usuario de Workiva con el ID SAML falló. | ID SAML duplicado; caracteres no válidos; reglas de negocio en la asignación. |
| Intento de inicio de sesión desde un ID SAML no asociado {samlId}. Considere la posibilidad de configurar este ID SAML para el usuario de Wdesk correspondiente. | El inicio de sesión único (SSO) es obligatorio para la organización, pero este NameID no está asociado a ningún usuario. |
Nuevo empleado no aprovisionado; error tipográfico en el ID de SAML; directorio de IdP incorrecto para esta organización.
(Consulte la sección siguiente para obtener instrucciones sobre cómo solucionar este error) |
| Nuevo usuario SAML para el ID SAML {samlId}: redirigiendo al inicio de sesión para completar la inicialización de SAML. | Flujo de usuario SAML para usuarios nuevos: el usuario debe finalizar la configuración después de iniciar sesión en el IdP. | Se espera que esto ocurra en el primer inicio de sesión SAML cuando no se requiera SSO; el usuario está completando la asignación. |
Solucionar fallos de inicio de sesión SSO
Cuando un usuario no puede iniciar sesión con SSO, esto puede deberse a una asignación de usuario incorrecta. Para solucionarlo:
- Intenta obtener la fecha y la hora del intento fallido de inicio de sesión único (SSO).
- En el registro de actividad, desplácese por la tabla para acceder a los registros que ocurrieron en la fecha y hora del intento fallido de SSO.
- Busque el mensaje "Intento de inicio de sesión desde un ID SAML no asociado {samlId}. Considere configurar este ID SAML para el usuario de Wdesk correspondiente." ("{samlId}" es un marcador de posición para el ID SAML específico de su usuario.)
- Toma el valor de {samlId} y navega a la sección Asignación de usuario de tu configuración de SSO.
- Busque el nombre de usuario de su usuario en la columna Nombre de usuario de la tabla.
- En la tabla, haga doble clic en el campo ID de SSO que aparece junto al usuario e introduzca el valor {samlId} que obtuvo del registro de actividad.
- Haga clic en Guardar configuración.
- Pídele al usuario que intente iniciar sesión con SSO nuevamente.
Procesamiento de inicio de sesión y respuesta SAML
| Mensaje | Qué significa | Causas comunes |
| No se pudo deserializar la solicitud de autenticación. | El navegador o el proveedor de identidad (IdP) enviaron datos que el servicio no pudo leer como una solicitud SAML válida. | Solicitud truncada o corrupta; el proxy elimina el cuerpo POST; POST muy antiguo o que no utiliza SAML a la URL de inicio de sesión. |
| Se recibió un objeto XML no válido. Los datos de respuesta están mal formados o incompletos. | No se pudo analizar el XML de respuesta SAML o estaba incompleto. | Configuración incorrecta del IdP; el balanceador de carga o el proxy alteran la respuesta; interrupción de la red; XML pegado/editado en las pruebas. |
| La aserción SAML no es válida. | La aserción falló las comprobaciones estructurales o de políticas antes de la asignación de usuarios. | Desfase horario; público equivocado; afirmación caducada; contenido de la afirmación mal formado. |
| (El texto varía; a menudo incluye detalles técnicos de invalid_response / invalid_destination) | Algo en la respuesta SAML no coincidía con lo que Workiva esperaba (destino, estructura, etc.). | La URL de ACS no coincide; ID de entidad incorrecto; respuesta enviada a un entorno incorrecto; el IdP envía un estado de error sin una aserción utilizable. |
| La firma de la respuesta o la afirmación no es válida... El/los certificado(s) X.509 configurado(s) en Wdesk coinciden con el certificado de su IdP. | La verificación de la firma criptográfica falló. |
El IdP rotó el certificado de firma, pero Workiva todavía tiene el certificado antiguo; se pegó un certificado incorrecto en Workiva; se está firmando en el elemento incorrecto; hay varios certificados y el IdP no está usando el que se espera.
|
| Identificador de nombre SAML faltante o vacío | El NameID (o sujeto equivalente) no estaba presente o estaba en blanco. | El IdP no libera el NameID; el mapeo envía un valor vacío; se seleccionó un formato de NameID incorrecto en el IdP. |
| No se pudo descifrar una aserción o un nameID. | El contenido SAML cifrado no se pudo descifrar con la configuración de su proveedor de servicios. | El certificado de cifrado no coincide; el proveedor de identidad (IdP) cifra con un certificado que Workiva no posee; el texto cifrado está dañado. |
| El emisor de la aserción no coincide con el emisor configurado en Wdesk. | El emisor en el mensaje SAML no coincide con su configuración SAML. |
Error tipográfico en la URL del emisor; el IdP utiliza el alias issuer; IdP de prueba frente a IdP de producción.
(Consulta este registro para obtener los detalles de la solicitud que te ayudarán a corregir la configuración de SSO). |
| No se pudo encontrar la configuración SAML para la solicitud. | No se encontró ninguna configuración SAML que coincidiera con esta solicitud (registro no encontrado). | Ruta URL incorrecta / ID de configuración SAML; configuración deshabilitada o eliminada; marcador a la URL anterior. |
| Se produjo un error en el consumidor SAML… (genérico) | El inicio de sesión falló de una manera que no se corresponde con ningún código SAML específico de los anteriores. | Comportamiento inusual del IdP; error de integración transitorio; el mejor siguiente paso es un registro de inicio de sesión de HAR o IdP junto con este mensaje. |
| Se produjo un error al cerrar sesión en Saml… (genérico) | La solicitud de cierre de sesión falló de una manera que no se corresponde con un código específico. | La misma idea que para el consumidor: recopilar el registro de cierre de sesión del IdP y el tiempo de correlación. |
Certificados (firma/validación)
| Mensaje | Qué significa | Causas comunes |
| El certificado X509 tiene un formato incorrecto o ha caducado. Si está configurado, se utilizará el certificado alternativo X509. | El certificado de firma del IdP principal en Workiva no es válido o ha caducado; el sistema puede recurrir a un certificado alternativo. | Certificado caducado; error de formato PEM; espacios adicionales o encabezados faltantes. |
| El certificado Alt X509 tiene un formato incorrecto o ha caducado. | El certificado alternativo también es inválido o ha caducado. | Ambos certificados necesitan renovación; error de copiar/pegar en el segundo certificado. |
| No se han configurado certificados X509 para la configuración SAML. | No se almacena ni el certificado de firma principal ni el alternativo. | Nueva configuración; certificados borrados; la importación de metadatos no rellenó el certificado. |
Estructura de la respuesta, afirmaciones y respuestas "envueltas"
| Mensaje | Qué significa | Causas comunes |
| Se ha detectado una posible vulnerabilidad XSW: No se ha encontrado el elemento de respuesta. | La carga útil SAML no contenía un solo elemento normal.<Response> raíz como se esperaba. | XML con formato incorrecto; empaquetado inusual del proveedor de identidad; intento de manipulación; middleware defectuoso. |
| Se ha detectado un posible XSW: se han encontrado múltiples elementos de respuesta. | Más de una respuesta SAML en la carga útil. | Error poco común del proveedor de identidad (IdP); respuestas concatenadas; el proxy fusiona los cuerpos incorrectamente. |
| No se encontró ningún elemento de aserción... compruebe la respuesta SAML para detectar fallos de autenticación de StatusCode de su proveedor de identidad. | No se realizó ninguna solicitud para iniciar sesión del usuario, lo que suele ser una denegación por parte del proveedor de identidad (IdP). | Contraseña incorrecta; fallo de autenticación multifactor; la política del proveedor de identidad (IdP) denegó el acceso al usuario; el usuario no tiene licencia en el lado del IdP. |
| Se ha detectado una posible vulnerabilidad XSW: se han detectado múltiples elementos Assertion y EncryptedAssertion. | Se presentan tanto afirmaciones en texto plano como encriptadas (no permitido). | Configuración inusual del proveedor de identidad; personalización que envía contenido duplicado. |
| Posible XSW detectado: Se detectaron múltiples aserciones; Wdesk solo permite una. | Más de una afirmación en una misma respuesta. | IdP que envía aserciones agrupadas; agregadores de federación. |
| Posible XSW detectado: Se detectaron múltiples aserciones cifradas; Wdesk solo permite una. | Más de una afirmación cifrada. | Misma familia de causas que múltiples afirmaciones. |
*“XSW” se refiere a patrones de envoltura de respuesta sospechosos que el servicio bloquea por motivos de seguridad.
Configuración y URLs de Workiva
| Mensaje | Qué significa | Causas comunes |
| No se pudo encontrar una configuración SAML para el ID {id} / No se pudo encontrar una configuración SAML para {id} | No existe ningún registro SAML para ese identificador. | {id} incorrecto en la URL; configuración eliminada; error tipográfico en el enlace o la integración. |
| La configuración SAML {name} no está habilitada actualmente y no se puede utilizar para la autenticación. | SAML existe, pero está desactivado para esa organización. | El administrador deshabilitó SAML; congelación de cambios; probando otro IdP. |
| La configuración SAML {name} no está configurada mínimamente y no se puede utilizar para la autenticación. | Los campos obligatorios (por ejemplo, la URL del IdP, la vinculación o los certificados) están incompletos. | La configuración no ha finalizado; la importación de metadatos está incompleta; configuración preliminar. |
| No se pudo encontrar la organización asociada con esta configuración SAML {id}. | Falta el enlace interno entre la configuración SAML y la organización. | Inconsistencia en los datos; el servicio de soporte generalmente necesita investigar. |
| La configuración SAML que coincide con el ID proporcionado no tiene una URL de respuesta de cierre de sesión. | La URL de cierre de sesión no está configurada donde la aplicación espera. | El cierre de sesión no está configurado en la configuración SAML; faltan los metadatos. URL de cierre de sesión único. |
Asunto / NombreID y atributos
| Mensaje | Qué significa | Causas comunes |
| No se pudo encontrar el sujeto SAML en el elemento Attribute Name={name}... | Workiva está configurado para leer el ID SAML de un atributo específico, pero ese atributo o instrucción no está presente. | Atributo no enviado; nombre de atributo incorrecto; atributo en la aserción pero espacio de nombres/formato incorrecto. |
Cerrar sesión
| Mensaje | Qué significa | Causas comunes |
| Falta el parámetro SAMLRequest. | El IdP o el navegador acceden al punto final de cierre de sesión sin una solicitud de cierre de sesión SAML. | URL de cierre de sesión del IdP mal configurada; visita manual de la URL; enlace profundo roto. |
| No se pudo encontrar una configuración SAML que coincida con el ID proporcionado. | El cierre de sesión hacía referencia a una configuración SAML desconocida. | samlConfig incorrecto en la ruta o parámetro. |
Finalización de la configuración del usuario SAML (tras el primer inicio de sesión en el IdP).
| Mensaje | Qué significa | Causas comunes |
| Error de inicialización del usuario SAML: error de validación del token de seguridad | El token de configuración de un solo uso no estaba disponible, era incorrecto o había caducado. | Se guardó el enlace antiguo; tardó demasiado en completarse; la cookie estaba bloqueada; se abrió el enlace en un navegador diferente. |
| Se produjo un error en el controlador de inicialización de SAML... (genérico) | La instalación falló por un motivo inesperado. | Inténtalo de nuevo; si se repite, anota la hora y la URL para el servicio de asistencia. |
| (Varios mensajes de validación) | Se muestra cuando falla la creación del registro de usuario SAML (el texto exacto depende de la validación). | Ejemplo: El ID SAML ya está siendo utilizado por otro usuario en la organización. |
Administración: Importación de metadatos SAML (API / flujos de administración)
| Mensaje | Qué significa | Causas comunes |
| No se pudo analizar el XML de metadatos | El archivo no es un XML válido. | Se descargó el archivo incorrecto; la página de error HTML se guardó como .xml. |
| No se pudo encontrar IDPSSODescriptor en los metadatos XML. | No son metadatos del IdP (o el perfil es incorrecto). | Los metadatos de SP se cargaron por error; el archivo se ha recortado. |
| No se pudo encontrar un certificado X.509 de firma. | No se encontró el certificado de firma en los metadatos donde se esperaba. | Metadatos sin<KeyDescriptor use="signing"> ; metadatos cifrados únicamente. |
| No se pudo encontrar un SingleSignOnService en los metadatos XML. | No se ha declarado ningún punto final de SSO. | Exportación incompleta desde el IdP. |
| No se encontró ningún enlace de SingleSignOnService compatible. | La URL de SSO existe, pero Workiva no admite la importación mediante enlace. | Enlace inusual únicamente; plantilla IdP antigua. |
| ADVERTENCIA: Su archivo de metadatos contiene {n} certificados de firma... | Se han detectado varios certificados de firma; es posible que deba seleccionar el correcto manualmente. | Periodo de rotación de IdP con varios certificados activos. |
Administrador: Importación masiva de archivos de ID SAML
| Mensaje | Qué significa | Causas comunes |
| Se omite la fila {n} porque faltan el ID SAML y/o el nombre de usuario de Wdesk. | Celdas vacías en esa fila. | Archivo CSV editado en Excel; filas vacías al final. |
| Se omite la fila {n} debido a un nombre de usuario duplicado en el archivo CSV. | El mismo nombre de usuario de Workiva aparece dos veces. | Error al copiar y pegar en la hoja de cálculo. |
| El nombre de usuario {name} no se encontró o no es miembro de esta cuenta. | No se encontró ningún usuario coincidente en la organización para esa fila. | Error tipográfico en el nombre de usuario; el usuario pertenece a una organización diferente. |
| Se omite al usuario {name} porque la organización principal del usuario no coincide. | La organización de origen del usuario no pertenece a este dominio. | Se ha seleccionado un dominio incorrecto para la importación; cuenta de contratista. |
Seguridad y controles de cuenta
| Mensaje | Qué significa | Causas comunes |
| La solicitud SAML fue bloqueada debido a las reglas de validación de seguridad de la cuenta. | El cierre de sesión o la solicitud SAML falló una comprobación de seguridad interna para esa organización/configuración. | Bloqueo del motor de políticas; patrón sospechoso; es posible que el soporte técnico necesite los registros internos. |
Diagnóstico técnico (orientado al soporte)
| Mensaje | Qué significa | Causas comunes |
| Respuesta SAML: seguida de datos codificados | Se registró una respuesta SAML sin procesar cuando falló la autenticación SAML, para que el equipo de soporte pueda solucionar el problema. | Se detecta automáticamente en ciertos fallos; no es una "frase de error" en sí misma. |