Workiva peut enregistrer de courts messages relatifs à SAML en cas d'échec des étapes de connexion ou de configuration. Utilisez le libellé du message tel qu'indiqué dans les tableaux ci-dessous pour effectuer une recherche dans le journal d'activité SAML ou les tickets d'assistance de votre organisation. Les messages peuvent inclure votre nom de configuration SAML, votre nom d'utilisateur ou d'autres valeurs, qui sont représentées par des espaces réservés, comme {name}.
Ensuite, reportez-vous aux causes courantes du message lorsque vous travaillez avec votre équipe informatique ou le support Workiva pour résoudre les erreurs.
Remarque : Si le message inclut « SAML Consumer » ou « Saml Logout », ce texte provient de l’étape de traitement SAML ; le problème sous-jacent concerne généralement les certificats, la forme de la réponseou la configuration Workiva.
Utilisateurs, comptes et cartographie
| Message | Ce que cela signifie | Causes courantes |
| L'authentification SAML a échoué pour l'utilisateur {user} (ID SAML {samlId}). L’utilisateur est suspendu. | Le fournisseur d'identité a authentifié l'utilisateur, mais le compte Workiva est suspendu. |
Utilisateur suspendu par l'administrateur ; blocage pour non-conformité.
|
| L'authentification SAML a échoué en raison d'un échec de validation d'assertion ({detail}). | L'assertion n'a pas pu être validée ; le détail peut indiquer la règle (variable). | Incompatibilité entre l'audience et le destinataire ; condition non remplie ; échec du validateur personnalisé. |
| L'authentification SAML a échoué pour l'utilisateur {user} (ID SAML {samlId}). L'adresse IP de l'utilisateur ne figure pas sur la liste blanche. | L'adresse IP figurant sur la liste blanche a bloqué cette connexion. |
VPN désactivé ; nouvelle adresse IP du bureau ; liste blanche non mise à jour.
|
| L'utilisateur non authentifié {username} ne peut pas être associé à l'ID SAML {samlId} en dehors de son compte/organisation principal. | Un utilisateur existe ailleurs mais ne peut pas être lié à cette organisation via SAML dans ce contexte. |
URL de l'organisation incorrecte ; l'organisation d'origine de l'utilisateur est différente ; tentative de connexion inter-organisations.
(Contactez le support pour vous aider à résoudre ce problème) |
| L'association SAML a échoué pour l'utilisateur {displayName} | La validation de la liaison de l'utilisateur Workiva à l'identifiant SAML a échoué. | ID SAML en double ; caractères invalides ; règles métier sur le mappage. |
| Tentative de connexion depuis un ID SAML non associé {samlId}. Envisagez de configurer cet identifiant SAML pour l'utilisateur Wdesk correspondant. | L'authentification unique (SSO) est requise pour l'organisation, mais cet identifiant NameID n'est pas associé à un utilisateur. |
Nouvelle recrue non provisionnée ; erreur de frappe dans l’identifiant SAML ; répertoire IdP incorrect pour cette organisation.
(Voir la section ci-dessous pour connaître la procédure de résolution de cette erreur) |
| Nouvel utilisateur SAML pour l'ID SAML {samlId} - redirection vers la page de connexion pour finaliser l'initialisation SAML | Flux utilisateur SAML pour la première fois : l’utilisateur doit terminer la configuration après la connexion au fournisseur d’identité. | Attendu lors de la première connexion SAML lorsque l'authentification unique n'est pas requise ; l'utilisateur effectue le mappage. |
Résoudre les échecs de connexion SSO
Lorsqu'un utilisateur ne parvient pas à se connecter via l'authentification unique (SSO), cela peut être dû à un mappage utilisateur incorrect. Pour y remédier :
- Essayez d'obtenir la date et l'heure de l'échec de la tentative d'authentification unique.
- Dans le journal d'activité, faites défiler le tableau pour accéder aux entrées correspondant à la date et à l'heure de l'échec de la tentative d'authentification unique.
- Recherchez le message « Tentative de connexion depuis un ID SAML non associé {samlId} ». Envisagez de configurer cet ID SAML pour l'utilisateur Wdesk correspondant. (« {samlId} » est un espace réservé pour l'ID SAML spécifique de votre utilisateur.)
- Prenez la valeur de {samlId} et accédez à la section User mapping de votre configuration SSO.
- Recherchez le nom d'utilisateur de votre utilisateur dans la colonne Nom d'utilisateur du tableau.
- Dans le tableau, double-cliquez sur le champ ID SSO en regard de l'utilisateur et saisissez la valeur de {samlId} que vous avez obtenue à partir du journal d'activité.
- Cliquez sur Enregistrer la configuration.
- Demandez à l'utilisateur de réessayer de se connecter via l'authentification unique (SSO).
Traitement de la connexion et des réponses SAML
| Message | Ce que cela signifie | Causes courantes |
| Échec de la désérialisation de la requête d'authentification. | Le navigateur ou le fournisseur d'identité a envoyé des données que le service n'a pas pu lire comme une requête SAML valide. | Requête tronquée ou corrompue ; suppression du corps POST par le proxy ; requête POST très ancienne ou non-SAML vers l’URL de connexion. |
| Un objet XML invalide a été reçu. Données de réponse malformées ou incomplètes. | La réponse XML SAML n'a pas pu être analysée ou a été tronquée. | Mauvaise configuration du fournisseur d'identité ; altération de la réponse par l'équilibreur de charge ou le proxy ; interruption du réseau ; XML collé/modifié dans les tests. |
| L'assertion SAML n'est pas valide. | L'assertion a échoué aux vérifications structurelles ou de politique avant le mappage des utilisateurs. | Décalage horaire ; public inapproprié ; assertion expirée ; contenu d'assertion malformé. |
| (Le texte varie — il contient souvent des détails techniques provenant de invalid_response / invalid_destination) | Un élément de la réponse SAML ne correspondait pas aux attentes de Workiva (destination, structure, etc.). | URL ACS incorrecte ; ID d'entité incorrect ; Réponse envoyée à un environnement incorrect ; Le fournisseur d'identité envoie un statut d'erreur sans assertion utilisable. |
| La signature de la réponse ou de l'assertion était invalide… Le ou les certificats X.509 configurés dans Wdesk correspondent au certificat de votre fournisseur d'identité. | La vérification de la signature cryptographique a échoué. |
Le fournisseur d'identité a renouvelé le certificat de signature, mais Workiva possède toujours l'ancien certificat ; certificat incorrect collé dans Workiva ; signature sur le mauvais élément ; plusieurs certificats et le fournisseur d'identité n'utilise pas celui attendu.
|
| Identifiant de nom SAML manquant ou vide | Le champ NameID (ou sujet équivalent) était manquant ou vide. | Le fournisseur d'identité ne transmet pas le NameID ; le mappage envoie une valeur vide ; format NameID incorrect sélectionné sur le fournisseur d'identité. |
| Impossible de déchiffrer une assertion ou un nameID. | Le contenu SAML chiffré n'a pas pu être déchiffré avec vos paramètres SP. | Incompatibilité de certificat de chiffrement ; le fournisseur d’identité utilise un certificat que Workiva ne possède pas ; texte chiffré corrompu. |
| L'émetteur de l'assertion ne correspond pas à l'émetteur configuré dans Wdesk. | L'émetteur du message SAML ne correspond pas à votre configuration SAML. |
Erreur de frappe dans l'URL de l'émetteur ; IdP utilisant un alias d'émetteur ; IdP de test vs IdP de production.
(Consultez ce journal pour obtenir les détails de la requête afin de vous aider à corriger la configuration SSO) |
| Configuration SAML introuvable pour cette requête. | Aucune configuration SAML ne correspond à cette requête (enregistrement introuvable). | Chemin d'URL incorrect / ID de configuration SAML ; configuration désactivée ou supprimée ; signet vers une ancienne URL. |
| Une erreur s'est produite dans le consommateur SAML… (générique) | La connexion a échoué d'une manière qui ne correspond à aucun code SAML spécifique ci-dessus. | Comportement inhabituel du fournisseur d'identité ; bug d'intégration transitoire ; la meilleure prochaine étape consiste à obtenir un journal HAR ou un journal de connexion du fournisseur d'identité ainsi que ce message. |
| Une erreur s'est produite lors de la déconnexion Saml… (générique) | La demande de déconnexion a échoué d'une manière non associée à un code spécifique. | Même principe que pour le consommateur : collecter le journal de déconnexion du fournisseur d’identité et le temps de corrélation. |
Certificats (signature / validation)
| Message | Ce que cela signifie | Causes courantes |
| Le certificat X509 est mal formaté ou a expiré. Si cette option est activée, un certificat X509 alternatif sera utilisé. | Le certificat de signature IdP principal dans Workiva est invalide ou expiré ; le système peut utiliser un certificat alternatif. | Certificat expiré ; erreur de formatage PEM ; espaces supplémentaires ou en-têtes manquants. |
| Le certificat Alt X509 est mal formaté ou a expiré. | Le certificat alternatif est également invalide ou expiré. | Les deux certificats doivent être renouvelés ; erreur de copier-coller sur le deuxième certificat. |
| Aucun certificat X509 n'a été configuré pour SAML. | Aucun certificat de signature principal ni alternatif n'est stocké. | Nouvelle configuration ; certificats effacés ; l'importation des métadonnées n'a pas renseigné le certificat. |
Forme de la réponse, assertions et réponses « enveloppées »
| Message | Ce que cela signifie | Causes courantes |
| Vulnérabilité XSW potentielle détectée : élément de réponse introuvable | La charge utile SAML ne contenait pas un seul élément normal.<Response> racine comme prévu. | XML malformé ; packaging IdP inhabituel ; tentative de falsification ; intergiciel défectueux. |
| Vulnérabilité XSW potentielle détectée : plusieurs éléments de réponse trouvés | Plusieurs réponses SAML dans la charge utile. | Bug rare du fournisseur d'identité ; réponses concaténées ; fusion incorrecte des corps de requête par le proxy. |
| Aucun élément d'assertion trouvé... vérifiez la réponse SAML pour les échecs d'authentification StatusCode de votre fournisseur d'identité. | Aucune tentative d'authentification de l'utilisateur n'a été effectuée – souvent un refus du côté du fournisseur d'identité. | Mot de passe incorrect ; échec de l’authentification multifacteur ; politique du fournisseur d’identité refusant l’utilisateur ; utilisateur ne disposant pas de licence côté fournisseur d’identité. |
| Vulnérabilité XSW potentielle détectée : plusieurs éléments Assertion et EncryptedAssertion ont été détectés. | Présence d'assertions en clair et chiffrées (non autorisé). | Configuration IdP inhabituelle ; personnalisation envoyant du contenu dupliqué. |
| Vulnérabilité XSW potentielle détectée : plusieurs assertions ont été détectées ; Wdesk n’en autorise qu’une seule. | Plusieurs affirmations dans une seule réponse. | Fournisseur d'identité envoyant des assertions groupées ; agrégateurs de fédération. |
| Vulnérabilité XSW potentielle détectée : plusieurs assertions chiffrées ont été détectées ; Wdesk n’en autorise qu’une seule. | Plusieurs assertions chiffrées. | Même famille de causes que les assertions multiples. |
*« XSW » fait référence à des modèles d'encapsulation de réponse suspects que le service bloque pour des raisons de sécurité.
Configuration et URL de Workiva
| Message | Ce que cela signifie | Causes courantes |
| Impossible de trouver une configuration SAML pour l'identifiant {id} / Impossible de trouver une configuration SAML pour {id} | Aucun enregistrement SAML n'existe pour cet identifiant. | {id} incorrect dans l'URL ; configuration supprimée ; faute de frappe dans le lien ou l'intégration. |
| La configuration SAML {name} n'est actuellement pas activée et ne peut pas être utilisée pour l'authentification. | SAML existe, mais il est désactivé pour cette organisation. | L'administrateur a désactivé SAML ; les modifications sont gelées ; test d'un autre fournisseur d'identité. |
| La configuration SAML {name} n'est pas configurée de manière minimale et ne peut pas être utilisée pour l'authentification. | Les champs obligatoires (par exemple l'URL du fournisseur d'identité, la liaison ou les certificats) sont incomplets. | Configuration inachevée ; importation des métadonnées incomplète ; configuration provisoire. |
| Impossible de trouver l'organisation associée à cette configuration SAML {id} | Le lien interne entre la configuration SAML et l'organisation est manquant. | Incohérence des données ; le service d'assistance doit généralement mener une enquête. |
| La configuration SAML correspondant à l'identifiant fourni ne possède pas d'URL de réponse de déconnexion. | L'URL de déconnexion n'est pas définie à l'endroit où l'application l'attend. | Déconnexion non configurée dans la configuration SAML ; métadonnées manquantes : URL de déconnexion unique. |
Sujet / NomID et attributs
| Message | Ce que cela signifie | Causes courantes |
| Impossible de trouver le sujet SAML dans l'élément Name={name}... | Workiva est configuré pour lire l'identifiant SAML à partir d'un attribut spécifique, mais cet attribut ou cette instruction est manquant. | Attribut non envoyé ; nom d’attribut incorrect ; attribut dans l’assertion mais espace de noms/format incorrect. |
Déconnexion
| Message | Ce que cela signifie | Causes courantes |
| Paramètre SAMLRequest manquant | Le fournisseur d'identité ou le navigateur a accédé au point de terminaison de déconnexion sans requête de déconnexion SAML. | URL de déconnexion du fournisseur d'identité mal configurée ; visite manuelle de l'URL ; lien profond brisé. |
| Impossible de trouver une configuration SAML correspondant à l'identifiant fourni. | La déconnexion a fait référence à une configuration SAML inconnue. | Configuration samlincorrecte dans le chemin ou le paramètre.
|
Finalisation de la configuration utilisateur SAML (après la première connexion au fournisseur d'identité)
| Message | Ce que cela signifie | Causes courantes |
| Échec de l'initialisation de l'utilisateur SAML - erreur de validation du jeton de sécurité | Le jeton d'installation unique était manquant, incorrect ou expiré. | Ancien lien mis en favoris ; chargement trop long ; cookie bloqué ; lien ouvert dans un autre navigateur. |
| Une erreur s'est produite dans le gestionnaire d'initialisation SAML... (générique) | L'installation a échoué pour une raison inattendue. | Réessayer ; en cas de nouvelle tentative, veuillez noter l'heure et l'URL pour le support. |
| (Divers messages de validation) | Affiché lorsque la création de l'enregistrement utilisateur SAML échoue (le texte exact dépend de la validation). | Exemple : L’identifiant SAML est déjà utilisé par un autre utilisateur de l’organisation. |
Administration : Importation des métadonnées SAML (API / flux d’administration)
| Message | Ce que cela signifie | Causes courantes |
| Impossible d'analyser les métadonnées XML | Le fichier n'est pas un XML valide. | Fichier incorrect téléchargé ; page d'erreur HTML enregistrée au format .xml. |
| Impossible de trouver IDPSSODescriptor dans les métadonnées XML | Métadonnées IdP incorrectes (ou profil erroné). | Métadonnées SP téléchargées par erreur ; fichier tronqué. |
| Impossible de trouver un certificat de signature X.509 | Aucun certificat de signature dans les métadonnées, là où il était attendu. | Métadonnées sans<KeyDescriptor use="signing"> ; métadonnées chiffrées uniquement. |
| Impossible de trouver un service d'authentification unique (SingleSignOnService) dans les métadonnées XML. | Aucun point de terminaison SSO déclaré. | Exportation incomplète depuis le fournisseur d'identité. |
| Aucune liaison SingleSignOnService prise en charge n'a été trouvée. | L'URL SSO existe, mais la liaison n'est pas prise en charge par Workiva pour l'importation. | Liaison inhabituelle uniquement ; ancien modèle IdP. |
| AVERTISSEMENT : Votre fichier de métadonnées contient {n} certificats de signature… | Plusieurs certificats de signature ont été détectés ; vous devrez peut-être sélectionner manuellement le bon. | Période de rotation du fournisseur d'identité avec plusieurs certificats actifs. |
Administration : Importation en masse de fichiers d’identifiants SAML
| Message | Ce que cela signifie | Causes courantes |
| Ligne {n} ignorée car l'identifiant SAML et/ou le nom d'utilisateur Wdesk sont manquants. | Cellules vides dans cette ligne. | Fichier CSV modifié dans Excel ; lignes vides à la fin. |
| Ligne {n} ignorée en raison d'un nom d'utilisateur en double dans le fichier CSV | Le même nom d'utilisateur Workiva apparaît deux fois. | Erreur de copier-coller dans le tableur. |
| L'utilisateur {name} est introuvable ou n'est pas membre de ce compte. | Aucun utilisateur correspondant dans l'organisation pour cette ligne. | Faute de frappe dans le nom d'utilisateur ; utilisateur appartenant à une organisation différente. |
| L'utilisateur {name} est ignoré car son organisation principale ne correspond pas. | L'organisation d'origine de l'utilisateur n'appartient pas à ce domaine. | Mauvais domaine sélectionné pour l'importation ; compte de sous-traitant. |
Contrôles de sécurité et de compte
| Message | Ce que cela signifie | Causes courantes |
| Requête SAML bloquée en raison des règles de validation de sécurité du compte | La déconnexion ou la requête SAML a échoué à un contrôle de sécurité interne pour cette organisation/configuration. | Blocage du moteur de stratégie ; comportement suspect ; le support peut avoir besoin des journaux internes. |
Diagnostic technique (axé sur le support)
| Message | Ce que cela signifie | Causes courantes |
| Réponse SAML : suivie de données encodées | Une réponse SAML brute a été enregistrée en cas d'échec de l'authentification SAML, à des fins de dépannage avec le support technique. | Détectée automatiquement lors de certaines défaillances ; ne constitue pas une « phrase d'erreur » en soi. |