Workiva kan korte SAML-gerelateerde berichten vastleggen wanneer aanmeldings- of configuratiestappen mislukken. Gebruik de berichtformulering zoals weergegeven in de onderstaande tabellen om te zoeken in het SAML-activiteitenlogboek of de supporttickets van uw organisatie. Berichten kunnen uw SAML-configuratienaam, gebruikersnaam of andere waarden bevatten, die worden weergegeven door plaatsaanduidingen, zoals {naam}.
Raadpleeg vervolgens de meest voorkomende oorzaken van het bericht wanneer u samen met uw IT-team of Workiva Support de fouten probeert op te lossen.
Opmerking: Als het bericht "SAML Consumer" of "Saml Logout" bevat, is die tekst afkomstig van de SAML-verwerkingsstap – het onderliggende probleem ligt meestal bij de certificaten, responsvormof Workiva-configuratie.
Gebruikers, accounts en kaarten
| Bericht | Wat het betekent | Veelvoorkomende oorzaken |
| SAML-authenticatie is mislukt voor gebruiker {user} (SAML-ID {samlId}). Gebruiker is geschorst. | De identiteitsprovider heeft de gebruiker geverifieerd, maar het Workiva-account is geblokkeerd. |
Beheerder heeft gebruiker geschorst; nalevingsblokkering.
|
| SAML-authenticatie is mislukt vanwege een fout in de assertievalidatie ({detail}). | De bewering is niet gevalideerd; in de details kan de regelnaam worden vermeld (dit kan variëren). | Doelgroep/ontvanger komt niet overeen; voorwaarde niet voldaan; aangepaste validator mislukt. |
| SAML-authenticatie is mislukt voor gebruiker {user} (SAML-ID {samlId}). Het IP-adres van de gebruiker staat niet in de whitelist. | IP-adressen op de whitelist hebben deze aanmelding geblokkeerd. |
VPN uitgeschakeld; nieuw IP-adres van kantoor; whitelist niet bijgewerkt.
|
| Niet-geauthenticeerde gebruiker {username} kan niet worden gekoppeld aan SAML-ID {samlId} buiten zijn/haar primaire account/organisatie. | Een gebruiker bestaat elders, maar kan in deze context niet via SAML aan deze organisatie worden gekoppeld. |
Onjuiste organisatie-URL; de thuisorganisatie van de gebruiker verschilt; poging tot inloggen vanuit een andere organisatie.
(Neem contact op met de ondersteuning om dit op te lossen) |
| SAML-associatie mislukt voor gebruiker {displayName} | Het koppelen van de Workiva-gebruiker aan de SAML-ID is mislukt tijdens de validatie. | Dubbele SAML-ID; ongeldige tekens; bedrijfsregels voor de mapping. |
| Inlogpoging vanaf niet-geassocieerde SAML-ID {samlId}. Overweeg om deze SAML-ID te configureren voor de bijbehorende Wdesk-gebruiker. | SSO is vereist voor de organisatie, maar deze NameID is niet gekoppeld aan een gebruiker. |
Nieuwe medewerker niet geactiveerd; typefout in SAML-ID; verkeerde IdP-directory voor deze organisatie.
(Zie onderstaande sectie voor stappen om deze fout op te lossen) |
| Nieuwe SAML-gebruiker voor SAML-ID {samlId} - doorverwijzing naar inlogpagina om SAML-initialisatie te voltooien | Eerste SAML-gebruikersworkflow: de gebruiker moet de configuratie voltooien na aanmelding bij de identiteitsprovider. | Verwacht bij de eerste SAML-aanmelding wanneer SSO niet vereist is; gebruiker voltooit de mapping. |
Los SSO-aanmeldingsproblemen op
Als een gebruiker niet kan inloggen met SSO, kan dit komen door een onjuiste gebruikerskoppeling. Om dit op te lossen:
- Probeer de datum en tijd van de mislukte SSO-poging te achterhalen.
- In het activiteitenlogboek kunt u door de tabel scrollen om de logboekvermeldingen te vinden die zijn gegenereerd op de datum en tijd van de mislukte SSO-poging.
- Zoek naar het bericht "Inlogpoging vanaf niet-gekoppelde SAML-ID {samlId}." Overweeg om deze SAML-ID te configureren voor de betreffende Wdesk-gebruiker. ("{samlId}" is een placeholder voor de specifieke SAML-ID van uw gebruiker.)
- Neem de waarde van {samlId} en ga naar het gedeelte Gebruikerstoewijzing in uw SSO-configuratie.
- Zoek de gebruikersnaam van uw gebruiker in de kolom Gebruikersnaam in de tabel.
- Dubbelklik in de tabel op het veld SSO ID naast de gebruiker en voer de waarde van {samlId} in die u uit het activiteitenlogboek hebt verkregen.
- Klik op Configuratie opslaan.
- Vraag de gebruiker om het inloggen met SSO opnieuw te proberen.
Aanmelding en verwerking van SAML-reacties
| Bericht | Wat het betekent | Veelvoorkomende oorzaken |
| Het deserialiseren van het authenticatieverzoek is mislukt. | De browser of identiteitsprovider verstuurde gegevens die de service niet als een geldig SAML-verzoek kon interpreteren. | Verkorte of beschadigde aanvraag; proxy verwijdert POST-body; zeer oude of niet-SAML POST naar de inlog-URL. |
| Er is een ongeldig XML-object ontvangen. De responsgegevens zijn onjuist of onvolledig. | De SAML-respons-XML kon niet worden geparseerd of was afgekapt. | IdP-foutconfiguratie; load balancer of proxy die de respons wijzigt; netwerkonderbreking; geplakte/bewerkte XML in tests. |
| De SAML-assertie is niet geldig. | De bewering voldeed niet aan de structurele of beleidscontroles vóór de gebruikersmapping. | Tijdsverschil; verkeerde doelgroep; bewering verlopen; onjuiste inhoud van de bewering. |
| (De tekst varieert — bevat vaak technische details van invalid_response / invalid_destination) | Er was iets in het SAML-antwoord dat niet overeenkwam met wat Workiva verwachtte (bestemming, structuur, enz.). | ACS-URL komt niet overeen; onjuiste entiteits-ID; reactie verzonden naar verkeerde omgeving; IdP verzendt een foutstatus zonder bruikbare bewering. |
| De handtekening van het antwoord of de bewering was ongeldig... Het X.509-certificaat/de certificaten die in Wdesk zijn geconfigureerd, komen overeen met het certificaat van uw identiteitsprovider. | Cryptografische handtekeningverificatie is mislukt. |
De identiteitsprovider heeft het ondertekeningscertificaat geroteerd, maar Workiva gebruikt nog steeds het oude certificaat; er is een verkeerd certificaat in Workiva geplakt; er wordt op het verkeerde element ondertekend; er zijn meerdere certificaten en de identiteitsprovider gebruikt niet het certificaat dat je verwacht.
|
| Ontbrekende of lege SAML-naamidentificatie | De NameID (of een gelijkwaardig onderwerp) ontbrak of was leeg. | De IdP geeft de NameID niet vrij; de mapping verzendt een lege waarde; er is een onjuist NameID-formaat geselecteerd op de IdP. |
| Het is niet gelukt om een bewering of naam-ID te decoderen. | Versleutelde SAML-inhoud kon niet worden ontsleuteld met uw SP-instellingen. | Certificaat voor encryptie komt niet overeen; IdP gebruikt een certificaat dat Workiva niet heeft; versleutelde tekst is beschadigd. |
| De Issuer van de Assertie komt niet overeen met de geconfigureerde Issuer in Wdesk. | De uitgever in het SAML-bericht komt niet overeen met uw SAML-configuratie. |
Typfout in de URL van de uitgever; IdP gebruikt een alias voor de uitgever; staging- versus productie-IdP.
(Raadpleeg dit logboek voor de details van het verzoek om de SSO-configuratie te corrigeren.) |
| Er kon geen SAML-configuratie voor het verzoek worden gevonden. | Er is geen SAML-configuratie gevonden die overeenkomt met dit verzoek (registratie niet gevonden). | Onjuist URL-pad / SAML-configuratie-ID; uitgeschakelde of verwijderde configuratie; bladwijzer naar oude URL. |
| Er is een fout opgetreden in SAML Consumer… (generiek) | Het aanmelden is mislukt op een manier die niet overeenkomt met een specifieke SAML-code hierboven. | Ongebruikelijk gedrag van de identiteitsprovider; tijdelijke integratiefout; de beste volgende stap is een HAR-rapport of een logboek van de identiteitsprovider met dit bericht. |
| Er is een fout opgetreden bij het uitloggen van Saml… (algemeen) | Het uitlogverzoek is mislukt op een manier die niet aan een specifieke code kan worden gekoppeld. | Hetzelfde idee als voor de consument: verzamel de IdP-uitloglog en de correlatietijd. |
Certificaten (ondertekening / validatie)
| Bericht | Wat het betekent | Veelvoorkomende oorzaken |
| Het X509-certificaat is onjuist opgemaakt of is verlopen. Indien ingesteld, wordt een alternatief X509-certificaat gebruikt. | Het primaire IdP-ondertekeningscertificaat in Workiva is ongeldig of verlopen; het systeem kan terugvallen op een alternatief certificaat. | Certificaat verlopen; PEM-opmaakfout; extra spaties of ontbrekende headers. |
| Het Alt X509-certificaat is onjuist opgemaakt of is verlopen. | Het alternatieve certificaat is ook ongeldig of verlopen. | Beide certificaten moeten worden vernieuwd; er is een kopieer-/plakfout gemaakt bij het tweede certificaat. |
| Er zijn geen X509-certificaten ingesteld voor de SAML-configuratie. | Er wordt geen primair noch alternatief ondertekeningscertificaat opgeslagen. | Nieuwe configuratie; certificaten gewist; metadata-import heeft geen certificaat toegevoegd. |
Vorm van het antwoord, beweringen en "ingekapselde" antwoorden
| Bericht | Wat het betekent | Veelvoorkomende oorzaken |
| Mogelijke XSW gedetecteerd: responselement niet gevonden | De SAML-payload bevatte geen enkele normale<Response> Root zoals verwacht. | Onjuiste XML-structuur; ongebruikelijke IdP-verpakking; poging tot manipulatie; defecte middleware. |
| Mogelijke XSW gedetecteerd: Meerdere responselementen gevonden | Meer dan één SAML-antwoord in de payload. | Zeldzame IdP-bug; samengevoegde reacties; proxy voegt de inhoud van berichten onjuist samen. |
| Geen Assertion-element gevonden... controleer het SAML-antwoord op StatusCode-authenticatiefouten van uw identiteitsprovider. | Er was geen bevestiging om de gebruiker in te loggen – vaak een weigering aan de kant van de identiteitsprovider. | Onjuist wachtwoord; MFA-fout; IdP-beleid heeft gebruiker geweigerd; gebruiker heeft geen licentie aan de IdP-zijde. |
| Mogelijke XSS-aanval gedetecteerd: Meerdere Assertion- en EncryptedAssertion-elementen gedetecteerd | Zowel onversleutelde als versleutelde beweringen aanwezig (niet toegestaan). | Ongebruikelijke IdP-configuratie; aanpassing verzendt dubbele inhoud. |
| Mogelijke XSS-kwetsbaarheid gedetecteerd: Meerdere beweringen gedetecteerd - slechts één is toegestaan door Wdesk | Meer dan één bewering in één reactie. | IdP die gegroepeerde beweringen verzendt; federatie-aggregators. |
| Mogelijke XSS-aanval gedetecteerd: Meerdere versleutelde beweringen gedetecteerd - Wdesk staat er slechts één toe. | Meer dan één versleutelde bewering. | Dezelfde familie van oorzaken als meerdere beweringen. |
*“XSW” verwijst naar verdachte responsverpakkingspatronen die de service om veiligheidsredenen blokkeert.
Workiva-configuratie en URL's
| Bericht | Wat het betekent | Veelvoorkomende oorzaken |
| Er is geen SAML-configuratie gevonden voor id {id} / Er is geen SAML-configuratie gevonden voor {id} | Er bestaat geen SAML-record voor die identificatiecode. | Onjuiste {id} in de URL; configuratie verwijderd; typefout in link of integratie. |
| SAML-configuratie {naam} is momenteel niet ingeschakeld en kan niet worden gebruikt voor authenticatie. | SAML bestaat wel, maar is voor die organisatie uitgeschakeld. | De beheerder heeft SAML uitgeschakeld; wijzigingen bevroren; een andere identiteitsprovider wordt getest. |
| De SAML-configuratie {naam} is niet minimaal geconfigureerd en kan niet worden gebruikt voor authenticatie. | Vereiste velden (bijvoorbeeld IdP-URL, binding of certificaten) zijn onvolledig. | Installatie niet voltooid; import van metadata onvolledig; conceptconfiguratie. |
| Kan geen organisatie vinden die is gekoppeld aan deze SAML-configuratie {id}. | De interne koppeling tussen de SAML-configuratie en de organisatie ontbreekt. | Inconsistentie in de gegevens; de supportafdeling moet dit meestal onderzoeken. |
| De SAML-configuratie die overeenkomt met de opgegeven ID heeft geen URL voor een logout-reactie. | De uitlog-URL is niet ingesteld op de locatie die de app verwacht. | Uitloggen is niet geconfigureerd in de SAML-configuratie; metadata ontbreekt voor de URL voor enkel uitloggen. |
Onderwerp / NaamID en attributen
| Bericht | Wat het betekent | Veelvoorkomende oorzaken |
| Het SAML-onderwerp kan niet worden gevonden in het element met de attribuutnaam {name}. | Workiva is geconfigureerd om de SAML-ID uit een specifiek attribuut te lezen, maar dat attribuut of die instructie ontbreekt. | Attribuut niet verzonden; onjuiste attribuutnaam; attribuut in bewering, maar onjuiste naamruimte/indeling. |
Uitloggen
| Bericht | Wat het betekent | Veelvoorkomende oorzaken |
| Ontbrekende SAMLRequest-parameter | De identiteitsprovider of browser heeft het logout-eindpunt aangeroepen zonder een SAML-logoutverzoek. | Onjuist geconfigureerde IdP-uitlog-URL; handmatig URL-bezoek; defecte deeplink. |
| Er kon geen SAML-configuratie worden gevonden die overeenkomt met de opgegeven ID. | Uitloggen verwees naar een onbekende SAML-configuratie. | Onjuiste samlConfig in pad of parameter. |
Het voltooien van de SAML-gebruikersconfiguratie (na de eerste aanmelding bij de identiteitsprovider)
| Bericht | Wat het betekent | Veelvoorkomende oorzaken |
| Initialisatie van SAML-gebruiker mislukt - validatiefout beveiligingstoken | Het eenmalige installatietoken ontbrak, was onjuist of verlopen. | Oude link opgeslagen; duurde te lang om te laden; cookie geblokkeerd; link geopend in een andere browser. |
| Er is een fout opgetreden in de SAML-initialisatiehandler... (generiek) | De installatie is om een onverwachte reden mislukt. | Probeer het opnieuw; als het opnieuw lukt, noteer dan de tijd en de URL voor de ondersteuning. |
| (Diverse validatieberichten) | Wordt weergegeven wanneer het aanmaken van het SAML-gebruikersrecord mislukt (exacte tekst is afhankelijk van de validatie). | Voorbeeld: SAML-ID wordt al door een andere gebruiker in de organisatie gebruikt. |
Beheerder: SAML-metadata importeren (API / beheerworkflows)
| Bericht | Wat het betekent | Veelvoorkomende oorzaken |
| Het is niet mogelijk om de metadata-XML te parseren. | Het bestand is geen geldig XML-bestand. | Verkeerd bestand gedownload; HTML-foutpagina opgeslagen als .xml. |
| Kan IDPSSODescriptor niet vinden in de metadata-XML. | Geen IdP-metadata (of verkeerd profiel). | SP-metadata is per ongeluk geüpload; bestand is bijgesneden. |
| Er kon geen X.509-ondertekeningscertificaat worden gevonden. | Geen ondertekeningscertificaat in de metadata waar verwacht. | Metagegevens zonder<KeyDescriptor use="signing"> ; uitsluitend versleutelde metadata. |
| Er is geen SingleSignOnService gevonden in de metadata-XML. | Geen SSO-eindpunt opgegeven. | Onvolledige export vanuit IdP. |
| Geen ondersteunde SingleSignOnService-binding gevonden | De SSO-URL bestaat wel, maar de binding wordt niet door Workiva ondersteund voor import. | Alleen ongebruikelijke binding; oude IdP-sjabloon. |
| WAARSCHUWING: Uw metadatabestand bevat {n} ondertekeningscertificaten... | Er zijn meerdere ondertekeningscertificaten gedetecteerd; mogelijk moet u handmatig het juiste certificaat selecteren. | IdP-rotatieperiode met meerdere actieve certificaten. |
Beheerder: Bulkimport van SAML ID-bestanden
| Bericht | Wat het betekent | Veelvoorkomende oorzaken |
| Rij {n} wordt overgeslagen omdat de SAML-ID en/of Wdesk-gebruikersnaam ontbreken. | Lege cellen in die rij. | CSV-bestand bewerkt in Excel; lege rijen aan het einde. |
| Rij {n} wordt overgeslagen vanwege een dubbele gebruikersnaam in het csv-bestand. | Dezelfde Workiva-gebruikersnaam verschijnt twee keer. | Fout bij het kopiëren/plakken van een spreadsheet. |
| Gebruikersnaam {name} is niet gevonden of is geen lid van dit account. | Er is geen overeenkomende gebruiker in de organisatie voor die rij. | Typfout in gebruikersnaam; gebruiker in een andere organisatie. |
| Gebruiker {naam} wordt overgeslagen omdat de primaire organisatie van de gebruiker niet overeenkomt. | De thuisorganisatie van de gebruiker bevindt zich niet in dit domein. | Onjuist domein geselecteerd voor import; aannemersaccount. |
Beveiliging en accountbeheer
| Bericht | Wat het betekent | Veelvoorkomende oorzaken |
| SAML-verzoek geblokkeerd vanwege validatieregels voor accountbeveiliging. | Uitloggen of SAML-verzoek mislukte vanwege een interne beveiligingscontrole voor die organisatie/configuratie. | Blokkering van de beleidsengine; verdacht patroon; ondersteuning heeft mogelijk interne logbestanden nodig. |
Technische diagnose (ondersteuningsgericht)
| Bericht | Wat het betekent | Veelvoorkomende oorzaken |
| SAMLResponse: gevolgd door gecodeerde gegevens | Een onbewerkte SAML-respons werd vastgelegd toen de SAML-authenticatie mislukte, voor probleemoplossing in samenwerking met de ondersteuning. | Wordt automatisch vastgelegd bij bepaalde fouten; het is geen op zichzelf staande "foutmelding". |