Workiva kan spille inn korte SAML-relaterte meldinger når pålogging eller konfigurasjonstrinn mislykkes. Bruk meldingsteksten som vist i tabellene nedenfor for å søke i organisasjonens SAML-aktivitetslogg eller støtteforespørsler. Meldinger kan inneholde SAML-konfigurasjonsnavnet ditt, brukernavnet eller andre verdier, som representeres av plassholdere, som {name}.
Se deretter de vanlige årsakene til meldingen mens du samarbeider med IT-teamet eller Workiva-kundestøtte for å løse feilene.
Merk: Hvis meldingen inneholder «SAML-forbruker» eller «Saml-utlogging», kommer den teksten fra SAML-behandlingstrinnet – det underliggende problemet er vanligvis med sertifikatene, svarformeneller Workiva-konfigurasjonen.
Brukere, kontoer og kartlegging
| Melding | Hva det betyr | Vanlige årsaker |
| SAML-autentisering mislyktes for bruker {user} (SAML-ID {samlId}). Brukeren er suspendert. | IdP-en autentisert brukeren, men Workiva-kontoen er suspendert. |
Administrator suspenderte bruker; samsvarssperre.
|
| SAML-autentisering mislyktes på grunn av en påstandsvalideringsfeil ({detail}). | Validering av påstand mislyktes; detaljene kan navngi regelen (varierer). | Avvik mellom målgruppe og mottaker; betingelse mislyktes; tilpasset valideringsfeil. |
| SAML-autentisering mislyktes for bruker {user} (SAML-ID {samlId}). Bruker-IP-adressen er ikke på tillatelseslisten. | IP-tillatelseslisten blokkerte denne påloggingen. |
VPN av; ny kontor-IP; tillatelsesliste ikke oppdatert.
|
| Den uautoriserte brukeren {username} kan ikke tilordnes til SAML-ID-en {samlId} utenfor sin primære konto/organisasjon. | En bruker finnes et annet sted, men kan ikke knyttes til denne organisasjonen via SAML i denne konteksten. |
Feil organisasjons-URL; brukerens hjemmeorganisasjon er forskjellig; forsøk på å logge inn på tvers av organisasjoner.
(Kontakt kundestøtte for å få hjelp med å løse dette) |
| SAML-tilknytning mislyktes for bruker {displayName} | Valideringen av koblingen av Workiva-brukeren til SAML-ID-en mislyktes. | Duplikat SAML-ID; ugyldige tegn; forretningsregler på tilordningen. |
| Innloggingsforsøk fra ikke-tilknyttet SAML-ID {samlId}. Vurder å konfigurere denne SAML-ID-en for den tilsvarende Wdesk-brukeren. | SSO er nødvendig for organisasjonen, men denne navne-ID-en er ikke tilordnet en bruker. |
Nyansatt ikke klargjort; SAML ID-skrivefeil; feil IdP-katalog for denne organisasjonen.
(Se avsnittet nedenfor for trinn om hvordan du løser denne feilen) |
| Ny SAML-bruker for SAML-ID {samlId} – viderekobling til pålogging for å fullføre SAML-initialisering | Førstegangs SAML-brukerflyt: brukeren må fullføre oppsettet etter IdP-pålogging. | Forventet ved første SAML-pålogging når SSO ikke er nødvendig; brukeren fullfører tilordningen. |
Løs SSO-påloggingsfeil
Når en bruker ikke kan logge inn med SSO, kan dette skyldes feil brukertilordning. For å fikse dette:
- Prøv å få dato og klokkeslett for det mislykkede SSO-forsøket.
- I aktivitetsloggen blar du gjennom tabellen for å se loggene som oppstod på datoen og klokkeslettet for det mislykkede SSO-forsøket.
- Se etter meldingen «Innloggingsforsøk fra ikke-tilknyttet SAML-ID {samlId}». Vurder å konfigurere denne SAML-ID-en for den tilsvarende Wdesk-brukeren. ("{samlId}" er en plassholder for brukerens spesifikke SAML-ID.)
- Ta verdien til {samlId} og naviger til delen Brukertilordning i SSO-konfigurasjonen din.
- Søk etter brukernavnet ditt under kolonnen Brukernavn i tabellen.
- Dobbeltklikk på feltet SSO ID ved siden av brukeren i tabellen, og skriv inn verdien for {samlId} som du hentet fra aktivitetsloggen.
- Klikk på Lagre konfigurasjon.
- Be brukeren om å prøve å logge inn med SSO på nytt.
Pålogging og SAML-svarbehandling
| Melding | Hva det betyr | Vanlige årsaker |
| Kunne ikke avserialisering av autentiseringsforespørselen. | Nettleseren eller IdP-en sendte data som tjenesten ikke kunne lese som en gyldig SAML-forespørsel. | Avkortet eller ødelagt forespørsel; POST-innhold fjernes fra proxy; POST som er veldig gammelt eller ikke-SAML-POST til påloggings-URL-en. |
| Et ugyldig XML-objekt ble mottatt. Svardataene er feilaktige eller ufullstendige. | SAML-svar-XML-filen kunne ikke analyseres eller ble kuttet av. | Feilkonfigurasjon av IdP; lastbalanserer eller proxy som endrer svaret; nettverksavbrudd; limt inn/redigert XML i tester. |
| SAML-påstanden er ikke gyldig. | Påstanden mislyktes i strukturelle kontroller eller policykontroller før brukertilordning. | Klokkeskjevhet; feil målgruppe; påstand utløpt; feil utformet påstandsinnhold. |
| (Teksten varierer – inkluderer ofte tekniske detaljer fra invalid_response / invalid_destination) | Noe i SAML-svaret samsvarte ikke med det Workiva forventer (destinasjon, struktur osv.). | ACS URL-avvik; feil enhets-ID; svar sendt til feil miljø; IdP sender en feilstatus uten brukbar påstand. |
| Signaturen til svaret eller påstanden var ugyldig ... X.509-sertifikat(er) konfigurert i Wdesk samsvarer med IdP-ens sertifikat | Verifisering av kryptografisk signatur mislyktes. |
IdP roterte signeringssertifikat, men Workiva har fortsatt det gamle sertifikatet; feil sertifikat limt inn i Workiva; signering på feil element; flere sertifikater, og IdP bruker ikke det du forventer.
|
| Manglende eller tom SAML-navnidentifikator | Navne-ID-en (eller tilsvarende emne) manglet eller var tom. | IdP frigir ikke NameID; tilordning sender tom verdi; feil NameID-format valgt på IdP. |
| Kunne ikke dekryptere en påstand eller navne-ID. | Kryptert SAML-innhold kunne ikke dekrypteres med SP-innstillingene dine. | Krypteringssertifikat stemmer ikke overens; IdP-kryptering med et sertifikat Workiva ikke har; ødelagt krypteringstekst. |
| Påstandens utsteder samsvarer ikke med den konfigurerte utstederen i Wdesk | Utstederen i SAML-meldingen samsvarer ikke med SAML-konfigurasjonen din. |
Skrivefeil i utsteder-URL; IdP bruker aliasutsteder; staging vs. produksjons-IdP.
(Sjekk denne loggen for forespørselsdetaljene som kan hjelpe deg med å fikse SSO-konfigurasjonen) |
| Finner ikke SAML-konfigurasjonen for forespørselen. | Ingen SAML-oppsett samsvarte med denne forespørselen (registreringen ble ikke funnet). | Feil URL-sti / SAML-konfigurasjons-ID; deaktivert eller slettet konfigurasjon; bokmerk til gammel URL. |
| Det oppsto en feil i SAML Consumer… (generisk) | Påloggingen mislyktes på en måte som ikke er tilordnet en spesifikk SAML-kode ovenfor. | Uvanlig IdP-oppførsel; forbigående integrasjonsfeil; beste neste steg er en HAR- eller IdP-påloggingslogg pluss denne meldingen. |
| Det oppsto en feil i Saml-utlogging… (generisk) | Utloggingsforespørselen mislyktes på en måte som ikke er tilordnet en spesifikk kode. | Samme idé som forbruker: samle inn IdP-utloggingslogg og korrelasjonstid. |
Sertifikater (signering / validering)
| Melding | Hva det betyr | Vanlige årsaker |
| X509-sertifikatet er feil formatert eller har utløpt. Hvis angitt, vil alt X509-sertifikatet bli brukt. | Primær IdP-signeringssertifikat i Workiva er ugyldig eller utløpt; systemet kan gå tilbake til et alternativt sertifikat. | Utløpt sertifikat; PEM-formateringsfeil; ekstra mellomrom eller manglende overskrifter. |
| Alt X509-sertifikatet er feil formatert eller har utløpt. | Alternativt sertifikat er også dårlig eller utløpt. | Begge sertifikatene må fornyes; kopierings-/limefeil på det andre sertifikatet. |
| Ingen X509-sertifikater er angitt for SAML-konfigurasjon. | Verken primær eller alternativ signeringsbevis lagres. | Ny konfigurasjon; sertifikater slettet; import av metadata fylte ikke ut sertifikatet. |
Svarform, påstander og "innpakkede" svar
| Melding | Hva det betyr | Vanlige årsaker |
| Potensiell XSW oppdaget: Svarelement ikke funnet | SAML-nyttelasten inneholdt ikke en eneste, normal<Response> rot som forventet. | Feilformet XML; uvanlig IdP-pakking; manipuleringsforsøk; ødelagt mellomprogramvare. |
| Potensiell XSW oppdaget: Flere responselementer funnet | Mer enn ett SAML-svar i nyttelasten. | Sjelden IdP-feil; sammenkoblede svar; feilaktig sammenslåing av mellomtjenere. |
| Ingen påstandselementer funnet ... sjekk SAML-svaret for StatusCode-autentiseringsfeil fra identitetsleverandøren din. | Det var ingen påstand om å logge brukeren inn – ofte en avslag på IdP-siden. | Feil passord; MFA-feil; IdP-policy nektet bruker; bruker ikke lisensiert på IdP-siden. |
| Potensiell XSW oppdaget: Flere påstands- og krypterte påstandselementer oppdaget | Både klartekst og krypterte påstander er til stede (ikke tillatt). | Uvanlig IdP-konfigurasjon; tilpasning for sending av duplikatinnhold. |
| Potensiell XSW oppdaget: Flere påstander oppdaget – bare én er tillatt av Wdesk. | Mer enn én påstand i ett svar. | IdP som sender grupperte påstander; føderasjonsaggregatorer. |
| Potensiell XSW oppdaget: Flere krypterte påstander oppdaget – bare én er tillatt av Wdesk. | Mer enn én kryptert påstand. | Samme familie av årsaker som flere påstander. |
*«XSW» refererer til mistenkelige svarinnpakningsmønstre som tjenesten blokkerer av sikkerhetshensyn.
Workiva-konfigurasjon og URL-er
| Melding | Hva det betyr | Vanlige årsaker |
| Finner ikke en SAML-konfigurasjon for ID {id} / Finner ikke SAML-konfigurasjon for {id} | Det finnes ingen SAML-oppføring for den identifikatoren. | Feil {id} i URL-en; konfigurasjon slettet; skrivefeil i lenke eller integrasjon. |
| SAML-konfigurasjonen {name} er ikke aktivert for øyeblikket og kan ikke brukes til autentisering | SAML finnes, men er deaktivert for den organisasjonen. | Administrator deaktiverte SAML; frysing av endringer; tester en annen IdP. |
| SAML-konfigurasjonen {name} er ikke minimalt konfigurert og kan ikke brukes til autentisering | Obligatoriske felt (for eksempel IdP-URL, binding eller sertifikater) er ufullstendige. | Oppsettet er ikke fullført; import av metadata er ufullstendig; utkast til konfigurasjon. |
| Finner ikke organisasjonen tilknyttet denne SAML-konfigurasjonen {id} | Intern lenke mellom SAML-konfigurasjon og organisasjon mangler. | Datainkonsekvens; support må vanligvis undersøke. |
| SAML-konfigurasjonssamsvaret som er oppgitt, har ikke en URL-adresse for utloggingssvar | Utloggings-URL-en er ikke angitt der appen forventer den. | Utlogging er ikke konfigurert i SAML-konfigurasjonen; metadata mangler URL for enkel utlogging. |
Emne / NavnID og attributter
| Melding | Hva det betyr | Vanlige årsaker |
| Finner ikke SAML-subjektet i attributtnavn={navn}-elementet... | Workiva er konfigurert til å lese SAML-ID-en fra et bestemt attributt, men det attributtet eller den setningen mangler. | Attributt ikke sendt; feil attributtnavn; attributt i deklarasjonen, men feil navnerom/format. |
Logg av
| Melding | Hva det betyr | Vanlige årsaker |
| Manglende SAMLRequest-parameter | IdP eller nettleser traff utloggingsendepunktet uten en SAML-utloggingsforespørsel. | Feilkonfigurert IdP-utloggings-URL; manuelt URL-besøk; ødelagt dyp lenke. |
| Finner ikke en SAML-konfigurasjon som samsvarer med den oppgitte ID-en | Utlogging refererte til en ukjent SAML-konfigurasjon. | Feil samlConfig i bane eller parameter. |
Fullfører SAML-brukeroppsett (etter første IdP-pålogging)
| Melding | Hva det betyr | Vanlige årsaker |
| SAML-brukerinitialisering mislyktes – valideringsfeil for sikkerhetstoken | Engangskonfigurasjonstokenet manglet, var feil eller utløpt. | Bokmerket gammel lenke; tok for lang tid å fullføre; informasjonskapsel blokkert; åpnet lenke i en annen nettleser. |
| Det oppsto en feil i SAML-initialiseringsbehandleren... (generisk) | Oppsettet mislyktes av en uventet årsak. | Prøv på nytt. Hvis det gjentas, registrer tidspunkt og URL for brukerstøtte. |
| (Ulike valideringsmeldinger) | Vises når oppretting av SAML-brukerposten mislykkes (nøyaktig tekst avhenger av validering). | Eksempel: SAML-ID brukes allerede av en annen bruker i organisasjonen. |
Admin: Import av SAML-metadata (API-/administrasjonsflyter)
| Melding | Hva det betyr | Vanlige årsaker |
| Kan ikke analysere metadata-XML-en | Filen er ikke gyldig XML. | Feil fil lastet ned; HTML-feilside lagret som .xml. |
| Finner ikke IDPSSODescriptor i metadata-XML-en | Ikke IdP-metadata (eller feil profil). | SP-metadata lastet opp ved en feiltakelse; trimmet fil. |
| Finner ikke et signeringssertifikat for X.509 | Ingen signeringssertifikat i metadataene der det var forventet. | Metadata uten<KeyDescriptor use="signing"> kun krypterte metadata. |
| Finner ikke en SingleSignOnService i metadata-XML-filen | Ingen SSO-endepunkt er deklarert. | Ufullstendig eksport fra IdP. |
| Ingen støttet SingleSignOnService-binding funnet | SSO-URL finnes, men binding er ikke en av dem som Workiva støtter for import. | Kun uvanlig binding; gammel IdP-mal. |
| ADVARSEL: Metadatafilen din inneholder {n} signeringssertifikater... | Flere signeringssertifikater oppdaget. Du må kanskje velge riktig sertifikat manuelt. | IdP-rotasjonsperiode med flere aktive sertifikater. |
Admin: Masseimport av SAML ID-filer
| Melding | Hva det betyr | Vanlige årsaker |
| Hopper over rad {n} fordi SAML-ID og/eller Wdesk-brukernavn mangler | Tomme celler i den raden. | CSV redigert i Excel; tomme rader etterfølges. |
| Hopper over rad {n} på grunn av duplisert brukernavn i csv | Samme Workiva-brukernavn vises to ganger. | Feil ved kopiering/liming av regneark. |
| Brukernavnet {name} ble ikke funnet, eller det er ikke medlem av denne kontoen | Ingen samsvarende bruker i organisasjonen for den raden. | Skrivefeil i brukernavn; bruker i annen organisasjon. |
| Hopper over bruker {name} fordi brukerens primære organisasjon ikke samsvarer. | Brukerens hjemmeorganisasjon er ikke dette riket. | Feil rike valgt for import; leverandørkonto. |
Sikkerhet og kontokontroller
| Melding | Hva det betyr | Vanlige årsaker |
| SAML-forespørsel blokkert på grunn av valideringsregler for kontosikkerhet | Utlogging eller SAML-forespørsel mislyktes i en intern sikkerhetssjekk for den organisasjonen/konfigurasjonen. | Blokkering av policymotor; mistenkelig mønster; kundestøtte kan trenge interne logger. |
Teknisk diagnostikk (supportorientert)
| Melding | Hva det betyr | Vanlige årsaker |
| SAMLResponse: etterfulgt av kodede data | Et rått SAML-svar ble logget da SAML-autentisering mislyktes, for feilsøking med kundestøtte. | Registreres automatisk ved visse feil; ikke en «feilsetning» i seg selv. |