Workiva può registrare brevi messaggi relativi al protocollo SAML in caso di errore durante l'accesso o la configurazione. Utilizza il testo del messaggio come mostrato nelle tabelle seguenti per cercare nel registro delle attività SAML della tua organizzazione o nei ticket di supporto. I messaggi possono includere il nome della configurazione SAML, il nome utente o altri valori, rappresentati da segnaposto, come {name}.
Quindi, fai riferimento alle cause comuni del messaggio mentre collabori con il tuo team IT o con l'assistenza Workiva per risolvere gli errori.
Nota: Se il messaggio include "SAML Consumer" o "Saml Logout", quel testo proviene dalla fase di elaborazione SAML: il problema di fondo è solitamente legato ai certificati, forma della risposta, o configurazione di Workiva
.
Utenti, account e mappatura
| Messaggio | Cosa significa | Cause comuni |
| Autenticazione SAML non riuscita per l'utente {user} (ID SAML {samlId}). L’utente è sospeso. | L'IdP ha autenticato l'utente, ma l'account Workiva è sospeso. |
Utente sospeso dall'amministratore; blocco per motivi di conformità.
|
| L'autenticazione SAML non è riuscita a causa di un errore di convalida dell'asserzione ({dettagli}). | La convalida dell'asserzione non è andata a buon fine; i dettagli potrebbero indicare il nome della regola (variabile). | Mancata corrispondenza tra destinatario e pubblico; condizione non soddisfatta; errore del validatore personalizzato. |
| Autenticazione SAML non riuscita per l'utente {user} (ID SAML {samlId}). L'indirizzo IP dell'utente non è presente nella lista degli indirizzi consentiti. | L'accesso è stato bloccato dalla lista bianca degli indirizzi IP. |
VPN disattivata; nuovo indirizzo IP dell'ufficio; lista di indirizzi consentiti non aggiornata.
|
| L'utente non autenticato {username} non può essere associato all'ID SAML {samlId} al di fuori del proprio account/organizzazione principale. | Un utente esiste altrove, ma in questo contesto non può essere collegato a questa organizzazione tramite SAML. |
URL dell'organizzazione errato; l'organizzazione di appartenenza dell'utente è diversa; tentativo di accesso tra organizzazioni diverse.
(Contatta l'assistenza per risolvere questo problema) |
| Associazione SAML non riuscita per l'utente {displayName} | Il collegamento dell'utente Workiva all'ID SAML non è andato a buon fine. | ID SAML duplicato; caratteri non validi; regole aziendali sulla mappatura. |
| Tentativo di accesso da un ID SAML non associato {samlId}. Valuta la possibilità di configurare questo ID SAML per l'utente Wdesk corrispondente. | L'SSO è obbligatorio per l'organizzazione, ma questo NameID non è associato a un utente. |
Nuovo assunto non ancora configurato; errore di battitura nell'ID SAML; directory IdP errata per questa organizzazione.
(Vedere la sezione seguente per i passaggi su come risolvere questo errore) |
| Nuovo utente SAML per l'ID SAML {samlId} - reindirizzamento alla pagina di login per completare l'inizializzazione SAML | Procedura per il primo accesso a SAML: l'utente deve completare la configurazione dopo aver effettuato l'accesso all'IdP. | Previsto al primo accesso SAML quando l'SSO non è richiesto; l'utente completa la mappatura. |
Risolvere i problemi di accesso SSO
Quando un utente non riesce ad accedere tramite SSO, ciò potrebbe essere dovuto a una mappatura utente errata. Per risolvere questo problema:
- Prova a recuperare la data e l'ora del tentativo di SSO non riuscito.
- Nel registro attività, scorri la tabella per trovare i log relativi alla data e all'ora del tentativo di SSO non riuscito.
- Cerca il messaggio "Tentativo di accesso da un ID SAML non associato {samlId}. Valuta la possibilità di configurare questo ID SAML per l'utente Wdesk corrispondente. ("{samlId}" è un segnaposto per l'ID SAML specifico del tuo utente.)
- Prendi il valore di {samlId} e vai alla sezione Mappatura utente della tua configurazione SSO.
- Cerca il nome utente del tuo utente nella colonna Nome utente della tabella.
- Nella tabella, fai doppio clic sul campo ID SSO accanto all'utente e inserisci il valore di {samlId} che hai ottenuto dal registro attività.
- Fai clic su Salva configurazione.
- Chiedi all'utente di provare ad accedere nuovamente tramite SSO.
Elaborazione dell'accesso e della risposta SAML
| Messaggio | Cosa significa | Cause comuni |
| Impossibile deserializzare la richiesta di autenticazione. | Il browser o l'IdP ha inviato dati che il servizio non è stato in grado di leggere come una richiesta SAML valida. | Richiesta troncata o danneggiata; rimozione del proxy dal corpo della richiesta POST; richiesta POST molto vecchia o non SAML all'URL di login. |
| È stato ricevuto un oggetto XML non valido. Dati di risposta non validi o incompleti. | Impossibile analizzare la risposta SAML XML oppure il contenuto è stato troncato. | Configurazione errata dell'IdP; bilanciamento del carico o proxy che alterano la risposta; interruzione di rete; XML incollato/modificato nei test. |
| L'asserzione SAML non è valida. | L'asserzione non ha superato i controlli strutturali o di policy prima della mappatura utente. | Errore di orologio; pubblico errato; asserzione scaduta; contenuto dell'asserzione non valido. |
| (Il testo varia: spesso include dettagli tecnici da invalid_response / invalid_destination) | Qualcosa nella risposta SAML non corrispondeva a quanto previsto da Workiva (destinazione, struttura, ecc.). | URL ACS non corrispondente; ID entità errato; Risposta inviata all'ambiente sbagliato; IdP invia uno stato di errore senza asserzione utilizzabile. |
| La firma della risposta o dell'asserzione non è valida... Il/I certificato/i X.509 configurato/i in Wdesk corrisponde/corrispondono al certificato del tuo IdP | Verifica della firma crittografica non riuscita. |
L'IdP ha ruotato il certificato di firma, ma Workiva ha ancora il vecchio certificato; certificato errato incollato in Workiva; firma sull'elemento sbagliato; certificati multipli e IdP non utilizza quello previsto.
|
| Identificatore del nome SAML mancante o vuoto | Il campo NameID (o soggetto equivalente) era mancante o vuoto. | L'IdP non rilascia il NameID; la mappatura invia un valore vuoto; formato NameID errato selezionato sull'IdP. |
| Impossibile decifrare un'asserzione o un nameID. | Il contenuto SAML crittografato non può essere decrittografato con le impostazioni SP in uso. | Mancata corrispondenza del certificato di crittografia; l'IdP sta crittografando con un certificato non posseduto da Workiva; testo cifrato corrotto. |
| L'emittente dell'asserzione non corrisponde all'emittente configurato in Wdesk. | L'emittente nel messaggio SAML non corrisponde alla configurazione SAML. |
Errore di battitura nell'URL dell'emittente; IdP utilizza un alias per l'emittente; IdP di staging vs. IdP di produzione.
(Controlla questo registro per i dettagli della richiesta che ti aiuteranno a correggere la configurazione SSO) |
| Impossibile trovare la configurazione SAML per la richiesta. | Nessuna configurazione SAML corrisponde a questa richiesta (registrazione non trovata). | Percorso URL/ID di configurazione SAML errato; configurazione disabilitata o eliminata; aggiungi ai segnalibri il vecchio URL. |
| Si è verificato un errore nel consumer SAML… (generico) | L'accesso non è riuscito in un modo che non è associato a uno specifico codice SAML tra quelli sopra elencati. | Comportamento insolito dell'IdP; bug di integrazione temporaneo; il passo successivo migliore è un registro di accesso HAR o dell'IdP insieme a questo messaggio. |
| Si è verificato un errore durante il logout da Saml… (generico) | La richiesta di disconnessione non è andata a buon fine in un modo non associato a un codice specifico. | Stessa idea del consumatore: raccogliere il log di disconnessione dell'IdP e il tempo di correlazione. |
Certificati (firma/validazione)
| Messaggio | Cosa significa | Cause comuni |
| Il certificato X509 non è formattato correttamente o è scaduto. Se impostato, verrà utilizzato il certificato X509 alternativo. | Il certificato di firma IdP primario in Workiva non è valido o è scaduto; il sistema potrebbe utilizzare un certificato alternativo. | Certificato scaduto; errore di formattazione PEM; spazi aggiuntivi o intestazioni mancanti. |
| Il certificato Alt X509 non è formattato correttamente o è scaduto. | Anche il certificato alternativo è errato o scaduto. | Entrambi i certificati devono essere rinnovati; errore di copia/incolla sul secondo certificato. |
| Non è stato impostato alcun certificato X509 per la configurazione SAML. | Non viene memorizzato né il certificato di firma primario né quello alternativo. | Nuova configurazione; certificati cancellati; l'importazione dei metadati non ha popolato il certificato. |
Forma della risposta, affermazioni e risposte "avvolte"
| Messaggio | Cosa significa | Cause comuni |
| Rilevato potenziale attacco XSW: elemento di risposta non trovato | Il payload SAML non conteneva un singolo elemento normale<Response> radice come previsto. | XML non valido; packaging IdP insolito; tentativo di manomissione; middleware difettoso. |
| Rilevato potenziale XSW: trovati più elementi di risposta | Più di una risposta SAML nel payload. | Raro bug dell'IdP; risposte concatenate; unione errata dei corpi da parte del proxy. |
| Nessun elemento Assertion trovato... controlla la risposta SAML per gli errori di autenticazione StatusCode dal tuo provider di identità | Non è stata effettuata alcuna asserzione per consentire all'utente di accedere, il che spesso comporta un rifiuto da parte del provider di identità. | Password errata; errore MFA; policy IdP ha negato l'accesso all'utente; utente non in possesso di licenza sul lato IdP. |
| Rilevato potenziale attacco XSW: rilevati più elementi Assertion e EncryptedAssertion | Sono presenti (non consentite) sia asserzioni in chiaro che crittografate. | Configurazione IdP insolita; la personalizzazione invia contenuti duplicati. |
| Potenziale attacco XSW rilevato: rilevate asserzioni multiple, ma solo una è consentita da Wdesk | Più di un'affermazione in una singola risposta. | IdP che invia asserzioni raggruppate; aggregatori di federazione. |
| Potenziale attacco XSW rilevato: rilevate più asserzioni crittografate - solo una è consentita da Wdesk | Più di un'asserzione crittografata. | Stessa famiglia di cause come asserzioni multiple. |
*“XSW” si riferisce a modelli di incapsulamento di risposte sospette che il servizio blocca per motivi di sicurezza.
Configurazione e URL di Workiva
| Messaggio | Cosa significa | Cause comuni |
| Impossibile trovare una configurazione SAML per l'ID {id} / Impossibile trovare una configurazione SAML per {id} | Non esiste alcun record SAML per quell'identificativo. | {id} errato nell'URL; configurazione eliminata; errore di battitura nel link o nell'integrazione. |
| La configurazione SAML {name} non è attualmente abilitata e non può essere utilizzata per l'autenticazione. | SAML esiste, ma è disattivato per quell'organizzazione. | L'amministratore ha disabilitato SAML; blocco delle modifiche; test di un altro IdP. |
| La configurazione SAML {name} non è configurata minimamente e non può essere utilizzata per l'autenticazione. | I campi obbligatori (ad esempio URL dell'IdP, binding o certificati) sono incompleti. | Configurazione non completata; importazione metadati incompleta; configurazione in bozza. |
| Impossibile trovare l'organizzazione associata a questa configurazione SAML {id} | Manca un collegamento interno tra la configurazione SAML e l'organizzazione. | Incoerenza dei dati; di solito è necessario che l'assistenza indaghi. |
| La configurazione SAML corrispondente all'ID fornito non dispone di un URL di risposta di logout | L'URL di disconnessione non è impostato nella posizione prevista dall'applicazione. | Il logout non è configurato nella configurazione SAML; mancano i metadati relativi all'URL di logout singolo. |
Soggetto / ID nome e attributi
| Messaggio | Cosa significa | Cause comuni |
| Impossibile trovare il soggetto SAML nell'elemento Nome attributo={name}... | Workiva è configurato per leggere l'ID SAML da un attributo specifico, ma tale attributo o istruzione non è presente. | Attributo non inviato; nome dell'attributo errato; attributo nell'asserzione ma namespace/formato errato. |
Disconnessione
| Messaggio | Cosa significa | Cause comuni |
| Parametro SAMLRequest mancante | L'IdP o il browser hanno raggiunto l'endpoint di logout senza una richiesta di logout SAML. | URL di logout IdP configurato in modo errato; visita manuale dell'URL; deep link non funzionante. |
| Impossibile trovare una configurazione saml corrispondente all'ID fornito. | Il logout ha fatto riferimento a una configurazione SAML sconosciuta. | Errore samlConfig nel percorso o nel parametro. |
Completamento della configurazione utente SAML (dopo il primo accesso all'IdP)
| Messaggio | Cosa significa | Cause comuni |
| Inizializzazione utente SAML non riuscita - errore di convalida del token di sicurezza | Il token di configurazione monouso era mancante, errato o scaduto. | Vecchio link aggiunto ai segnalibri; il caricamento ha richiesto troppo tempo; cookie bloccato; link aperto in un browser diverso. |
| Si è verificato un errore nel gestore di inizializzazione SAML... (generico) | L'installazione non è riuscita per un motivo imprevisto. | Riprova; se il problema persiste, annota l'ora e l'URL per l'assistenza. |
| (Vari messaggi di convalida) | Viene visualizzato quando la creazione del record utente SAML non riesce (il testo esatto dipende dalla convalida). | Esempio: l'ID SAML è già utilizzato da un altro utente nell'organizzazione. |
Amministrazione: Importazione dei metadati SAML (API / flussi amministrativi)
| Messaggio | Cosa significa | Cause comuni |
| Impossibile analizzare il file XML dei metadati | Il file non è un XML valido. | File errato scaricato; pagina di errore HTML salvata come .xml. |
| Impossibile trovare IDPSSODescriptor nel file XML dei metadati. | Non si tratta di metadati dell'IdP (o il profilo è errato). | Metadati SP caricati per errore; file troncato. |
| Impossibile trovare un certificato di firma X.509 | Nessun certificato di firma nei metadati dove previsto. | Metadati senza<KeyDescriptor use="signing"> ; metadati solo crittografati. |
| Impossibile trovare un SingleSignOnService nel file XML dei metadati | Nessun endpoint SSO dichiarato. | Esportazione incompleta dall'IdP. |
| Nessun binding SingleSignOnService supportato trovato | L'URL SSO esiste, ma il binding non è uno di quelli supportati da Workiva per l'importazione. | Solo binding insolito; vecchio modello IdP. |
| ATTENZIONE: Il file di metadati contiene {n} certificati di firma... | Sono stati rilevati più certificati di firma; potrebbe essere necessario selezionare manualmente quello corretto. | Periodo di rotazione dell'IdP con più certificati attivi. |
Amministratore: Importazione massiva di file ID SAML
| Messaggio | Cosa significa | Cause comuni |
| Riga {n} saltata perché mancano l'ID SAML e/o il nome utente Wdesk. | Celle vuote in quella riga. | File CSV modificato in Excel; righe vuote finali. |
| Riga {n} saltata a causa di nome utente duplicato nel file csv | Lo stesso nome utente di Workiva compare due volte. | Errore di copia/incolla nel foglio di calcolo. |
| L'utente {name} non è stato trovato o non è membro di questo account. | Nessun utente corrispondente nell'organizzazione per quella riga. | Errore di battitura nel nome utente; utente appartenente a un'organizzazione diversa. |
| Utente {name} ignorato perché l'organizzazione principale dell'utente non corrisponde. | L'organizzazione di appartenenza dell'utente non si trova in questo realm. | È stato selezionato il dominio errato per l'importazione; account del contraente. |
Controlli di sicurezza e dell'account
| Messaggio | Cosa significa | Cause comuni |
| Richiesta SAML bloccata a causa delle regole di convalida della sicurezza dell'account | La disconnessione o la richiesta SAML non ha superato un controllo di sicurezza interno per tale organizzazione/configurazione. | Blocco del motore delle policy; schema sospetto; l'assistenza potrebbe richiedere i log interni. |
Diagnostica tecnica (orientata all'assistenza)
| Messaggio | Cosa significa | Cause comuni |
| SAMLResponse: seguito da dati codificati | Quando l'autenticazione SAML non riesce, viene registrata una risposta SAML non elaborata, a scopo di risoluzione dei problemi con l'assistenza. | Acquisito automaticamente in caso di determinati errori; non costituisce di per sé una "segnalazione di errore". |