Workiva może rejestrować krótkie wiadomości związane z protokołem SAML, gdy logowanie lub konfiguracja nie powiodą się. Aby przeszukać dziennik aktywności SAML swojej organizacji lub zgłoszenia do pomocy technicznej, skorzystaj z treści komunikatu przedstawionej w poniższych tabelach. Wiadomości mogą zawierać nazwę konfiguracji SAML, nazwę użytkownika lub inne wartości, które są reprezentowane przez symbole zastępcze, takie jak {name}.
Następnie zapoznaj się z typowymi przyczynami wyświetlania komunikatu i wspólnie z zespołem IT lub działem pomocy technicznej Workiva rozwiąż problemy.
Uwaga: Jeśli wiadomość zawiera „SAML Consumer” lub „Saml Logout”, tekst ten pochodzi z etapu przetwarzania SAML – podstawowy problem zwykle dotyczy certyfikatów, kształtu odpowiedzilub konfiguracji Workiva.
Użytkownicy, konta i mapowanie
| Wiadomość | Co to znaczy | Najczęstsze przyczyny |
| Uwierzytelnianie SAML nie powiodło się dla użytkownika {user} (ID SAML {samlId}). Użytkownik jest zawieszony. | Dostawca tożsamości uwierzytelnił użytkownika, ale konto Workiva zostało zawieszone. |
Użytkownik zawieszony przez administratora; wstrzymanie zgodności.
|
| Uwierzytelnianie SAML nie powiodło się z powodu błędu weryfikacji potwierdzenia ({detail}). | Twierdzenie nie przeszło walidacji; szczegóły mogą określać regułę (różnią się). | Niezgodność odbiorców/odbiorców; warunek nie został spełniony; błąd niestandardowego walidatora. |
| Uwierzytelnianie SAML nie powiodło się dla użytkownika {user} (ID SAML {samlId}). Adres IP użytkownika nie znajduje się na liście dozwolonych. | Lista dozwolonych adresów IP zablokowała to logowanie. |
VPN wyłączony, nowy adres IP biura, lista dozwolonych nie została zaktualizowana.
|
| Niezalogowanego użytkownika {username} nie można zmapować na identyfikator SAML {samlId} poza jego głównym kontem/organizacją. | Użytkownik istnieje gdzie indziej, ale w tym kontekście nie można go powiązać z tą organizacją za pomocą protokołu SAML. |
Nieprawidłowy adres URL organizacji; nazwa organizacji domowej użytkownika jest inna; próba zalogowania do innej organizacji.
(Skontaktuj się z pomocą techniczną, aby uzyskać pomoc w rozwiązaniu tego problemu) |
| Nie udało się nawiązać skojarzenia SAML dla użytkownika {displayName} | Próba powiązania użytkownika Workiva z identyfikatorem SAML nie powiodła się. | Duplikat identyfikatora SAML, nieprawidłowe znaki, reguły biznesowe dotyczące mapowania. |
| Próba logowania z niezwiązanego identyfikatora SAML {samlId}. Rozważ skonfigurowanie tego identyfikatora SAML dla odpowiadającego mu użytkownika Wdesk. | Organizacja wymaga logowania jednokrotnego (SSO), ale ten identyfikator NameID nie jest przypisany do użytkownika. |
Nowo zatrudniony pracownik nie został odpowiednio przygotowany; błąd w identyfikatorze SAML; błędny katalog dostawcy tożsamości dla tej organizacji.
(Zobacz sekcję poniżej, aby uzyskać instrukcje dotyczące rozwiązania tego błędu) |
| Nowy użytkownik SAML dla identyfikatora SAML {samlId} — przekierowanie do logowania w celu dokończenia inicjalizacji SAML | Pierwszy raz podczas korzystania z SAML: użytkownik musi dokończyć konfigurację po zalogowaniu się do dostawcy tożsamości. | Oczekiwane przy pierwszym logowaniu SAML, gdy logowanie jednokrotne (SSO) nie jest wymagane; użytkownik kończy mapowanie. |
Rozwiązywanie problemów z logowaniem jednokrotnym
Jeśli użytkownik nie może zalogować się przy użyciu funkcji SSO, przyczyną może być nieprawidłowe mapowanie użytkowników. Aby to naprawić:
- Spróbuj uzyskać datę i godzinę nieudanej próby logowania jednokrotnego.
- W dzienniku aktywności przewiń tabelę, aby uzyskać dostęp do dzienników, które wystąpiły w dniu i godzinie nieudanej próby logowania jednokrotnego.
- Poszukaj komunikatu „Próba logowania z niepowiązanego identyfikatora SAML {samlId}. Rozważ skonfigurowanie tego identyfikatora SAML dla odpowiadającego mu użytkownika Wdesk. („{samlId}” to symbol zastępczy dla konkretnego identyfikatora SAML Twojego użytkownika.)
- Weź wartość {samlId} i przejdź do sekcji Mapowanie użytkowników konfiguracji logowania jednokrotnego.
- Wyszukaj nazwę użytkownika w kolumnie Nazwa użytkownika w tabeli.
- W tabeli kliknij dwukrotnie pole SSO ID obok użytkownika i wprowadź wartość {samlId}, którą uzyskałeś z dziennika aktywności.
- Kliknij Zapisz konfigurację.
- Poproś użytkownika o ponowne zalogowanie się przy użyciu funkcji SSO.
Przetwarzanie logowania i odpowiedzi SAML
| Wiadomość | Co to znaczy | Najczęstsze przyczyny |
| Nie udało się deserializować żądania uwierzytelnienia. | Przeglądarka lub dostawca tożsamości wysłał dane, których usługa nie mogła odczytać jako prawidłowego żądania SAML. | Skrócone lub uszkodzone żądanie; usunięcie treści żądania POST z serwera proxy; bardzo stare lub niezgodne z protokołem SAML żądanie POST dla adresu URL logowania. |
| Otrzymano nieprawidłowy obiekt XML. Dane odpowiedzi są nieprawidłowe lub niekompletne. | Nie można przeanalizować odpowiedzi XML SAML lub została ona ucięta. | Nieprawidłowa konfiguracja dostawcy tożsamości, moduł równoważenia obciążenia lub serwer proxy zmieniający odpowiedź, przerwa w działaniu sieci, wklejony/edytowany kod XML w testach. |
| Twierdzenie SAML jest nieprawidłowe. | Twierdzenie nie przeszło kontroli strukturalnej lub kontroli zasad przed mapowaniem użytkownika. | Przesunięcie zegara; niewłaściwa grupa docelowa; stwierdzenie wygasło; nieprawidłowo sformatowana treść stwierdzenia. |
| (Tekst może być różny — często zawiera szczegóły techniczne z invalid_response / invalid_destination) | Coś w odpowiedzi SAML nie zgadza się z oczekiwaniami Workiva (miejsce docelowe, struktura itp.). | Niezgodność adresu URL ACS; błędny identyfikator jednostki; odpowiedź wysłana do niewłaściwego środowiska; dostawca tożsamości wysyła błąd statusu bez użytecznego potwierdzenia. |
| Podpis odpowiedzi lub potwierdzenia jest nieprawidłowy… Certyfikat(y) X.509 skonfigurowane w Wdesk są zgodne z certyfikatem Twojego dostawcy tożsamości | Weryfikacja podpisu kryptograficznego nie powiodła się. |
Dostawca tożsamości zmienił certyfikat podpisu, ale Workiva nadal ma stary certyfikat; wklejono zły certyfikat w Workiva; podpisano zły element; zastosowano wiele certyfikatów, a dostawca tożsamości nie używa tego, którego się spodziewasz.
|
| Brakujący lub pusty identyfikator nazwy SAML | Brakuje NameID (lub równoważnego tematu) lub jest on pusty. | Dostawca tożsamości nie udostępnia NameID; mapowanie wysyła pustą wartość; u dostawcy tożsamości wybrano niewłaściwy format NameID. |
| Nie udało się odszyfrować potwierdzenia lub nameID. | Zaszyfrowanej zawartości SAML nie można odszyfrować za pomocą ustawień dostawcy usług. | Niezgodność certyfikatu szyfrowania; dostawca tożsamości szyfruje przy użyciu certyfikatu, którego Workiva nie posiada; uszkodzony tekst zaszyfrowany. |
| Wystawca potwierdzenia nie jest zgodny ze skonfigurowanym wystawcą w Wdesk | Wystawca w wiadomości SAML nie pasuje do konfiguracji SAML. |
Literówka w adresie URL wystawcy; dostawca tożsamości używa aliasu wystawcy; dostawca tożsamości w środowisku testowym a produkcyjnym.
(Sprawdź ten dziennik, aby uzyskać szczegóły żądania, które pomogą Ci naprawić konfigurację SSO) |
| Nie można znaleźć konfiguracji SAML dla żądania. | Żadna konfiguracja SAML nie spełniła tego żądania (rejestracja nie została znaleziona). | Nieprawidłowa ścieżka URL / identyfikator konfiguracji SAML; wyłączona lub usunięta konfiguracja; dodaj zakładkę do starego adresu URL. |
| Wystąpił błąd w SAML Consumer… (ogólny) | Logowanie nie powiodło się w sposób, który nie jest powiązany z powyższym konkretnym kodem SAML. | Nietypowe zachowanie dostawcy tożsamości; przejściowy błąd integracji; najlepszym kolejnym krokiem jest utworzenie dziennika logowania HAR lub IdP i zapoznanie się z tą wiadomością. |
| Wystąpił błąd podczas wylogowywania Saml… (ogólny) | Żądanie wylogowania nie powiodło się w sposób, który nie jest przypisany do konkretnego kodu. | Ten sam pomysł co w przypadku konsumenta: zbieranie dziennika wylogowań dostawcy tożsamości i czasu korelacji. |
Certyfikaty (podpisywanie / walidacja)
| Wiadomość | Co to znaczy | Najczęstsze przyczyny |
| Certyfikat X509 jest nieprawidłowo sformatowany lub wygasł. Jeśli ustawione, zostanie użyty certyfikat alt X509. | Podstawowy certyfikat podpisywania dostawcy tożsamości w systemie Workiva jest nieprawidłowy lub wygasł. System może użyć alternatywnego certyfikatu. | Wygasły certyfikat; błąd formatowania PEM; dodatkowe spacje lub brakujące nagłówki. |
| Certyfikat Alt X509 jest nieprawidłowo sformatowany lub wygasł. | Alternatywny certyfikat również jest zły lub wygasł. | Oba certyfikaty wymagają odnowienia; błąd kopiuj/wklej w drugim certyfikacie. |
| Nie ustawiono certyfikatów X509 dla konfiguracji SAML. | Nie przechowuje się ani podstawowego, ani alternatywnego certyfikatu podpisującego. | Nowa konfiguracja, certyfikaty wyczyszczone, import metadanych nie uzupełnił certyfikatu. |
Kształt odpowiedzi, twierdzenia i „zapakowane” odpowiedzi
| Wiadomość | Co to znaczy | Najczęstsze przyczyny |
| Wykryto potencjalny XSW: Nie znaleziono elementu odpowiedzi | Ładunek SAML nie zawierał ani jednego normalnego<Response> korzeń zgodnie z oczekiwaniami. | Nieprawidłowo sformatowany kod XML, nietypowe opakowanie IdP, próba manipulacji, uszkodzone oprogramowanie pośredniczące. |
| Wykryto potencjalny XSW: Znaleziono wiele elementów odpowiedzi | Więcej niż jedna odpowiedź SAML w treści. | Rzadki błąd IdP: łączone odpowiedzi, nieprawidłowe łączenie obiektów proxy. |
| Nie znaleziono elementu Assertion... sprawdź odpowiedź SAML pod kątem błędów uwierzytelniania StatusCode od swojego dostawcy tożsamości | Nie było żadnego żądania zalogowania użytkownika — często była to odmowa ze strony dostawcy tożsamości. | Nieprawidłowe hasło; błąd MFA; użytkownik odrzucony przez politykę dostawcy tożsamości; użytkownik nie ma licencji u dostawcy tożsamości. |
| Wykryto potencjalny błąd XSW: wykryto wiele elementów Assertion i EncryptedAssertion | Obecne są zarówno jawne, jak i zaszyfrowane potwierdzenia (niedozwolone). | Nietypowa konfiguracja IdP; dostosowywanie polegające na wysyłaniu zduplikowanej treści. |
| Wykryto potencjalny XSW: Wykryto wiele twierdzeń — Wdesk zezwala tylko na jedno | Więcej niż jedno stwierdzenie w jednej odpowiedzi. | Dostawca tożsamości wysyłający zgrupowane potwierdzenia; agregatory federacyjne. |
| Wykryto potencjalne XSW: Wykryto wiele zaszyfrowanych asercji — Wdesk zezwala tylko na jedną | Więcej niż jedno zaszyfrowane potwierdzenie. | Ta sama rodzina przyczyn co wiele twierdzeń. |
*„XSW” odnosi się do podejrzanych wzorców pakowania odpowiedzi, które usługa blokuje ze względów bezpieczeństwa.
Konfiguracja i adresy URL Workiva
| Wiadomość | Co to znaczy | Najczęstsze przyczyny |
| Nie można znaleźć konfiguracji SAML dla identyfikatora {id} / Nie można znaleźć konfiguracji SAML dla {id} | Nie istnieje żaden rekord SAML dla tego identyfikatora. | Nieprawidłowy {id} w adresie URL; usunięta konfiguracja; literówka w linku lub integracji. |
| Konfiguracja SAML {name} nie jest obecnie włączona i nie można jej używać do uwierzytelniania | SAML istnieje, ale jest wyłączony dla tej organizacji. | Administrator wyłączył SAML, zmiany zostały zamrożone, testowany jest inny dostawca tożsamości. |
| Konfiguracja SAML {name} nie jest skonfigurowana minimalnie i nie można jej używać do uwierzytelniania | Wymagane pola (na przykład adres URL dostawcy tożsamości, powiązanie lub certyfikaty) są niekompletne. | Instalacja nie została ukończona; import metadanych nie został ukończony; konfiguracja robocza. |
| Nie można znaleźć organizacji powiązanej z tą konfiguracją SAML {id} | Brak wewnętrznego łącza między konfiguracją SAML i organizacją. | Niespójność danych; zazwyczaj konieczne jest zbadanie sprawy przez dział wsparcia. |
| Konfiguracja SAML pasująca do podanego identyfikatora nie ma adresu URL odpowiedzi wylogowania | Adres URL wylogowania nie został ustawiony tam, gdzie aplikacja by tego oczekiwała. | Wylogowanie nie zostało skonfigurowane w konfiguracji SAML; brakuje metadanych. Adres URL pojedynczego wylogowania. |
Temat / NazwaID i atrybuty
| Wiadomość | Co to znaczy | Najczęstsze przyczyny |
| Nie można znaleźć podmiotu SAML w elemencie Attribute Name={name}... | Workiva jest skonfigurowana do odczytywania identyfikatora SAML z określonego atrybutu, ale ten atrybut lub polecenie brakuje. | Atrybut nie został wysłany; nieprawidłowa nazwa atrybutu; atrybut w potwierdzeniu, ale nieprawidłowa przestrzeń nazw/format. |
Wyloguj się
| Wiadomość | Co to znaczy | Najczęstsze przyczyny |
| Brak parametru SAMLRequest | Dostawca tożsamości lub przeglądarka osiągnęła punkt końcowy wylogowania bez żądania wylogowania SAML. | Nieprawidłowo skonfigurowany adres URL wylogowania dostawcy tożsamości, ręczne odwiedzenie adresu URL, uszkodzony głęboki link. |
| Nie można znaleźć konfiguracji SAML odpowiadającej podanemu identyfikatorowi | Wylogowanie odwoływało się do nieznanej konfiguracji SAML. | Nieprawidłowy samlConfig w ścieżce lub parametrze. |
Kończenie konfiguracji użytkownika SAML (po pierwszym logowaniu do dostawcy tożsamości)
| Wiadomość | Co to znaczy | Najczęstsze przyczyny |
| Nieudana inicjalizacja użytkownika SAML — błąd weryfikacji tokena bezpieczeństwa | Jednorazowy token instalacyjny był nieobecny, nieprawidłowy lub wygasł. | Dodano stary link do zakładek; za długo trwało otwieranie; zablokowano ciasteczko; link otwarto w innej przeglądarce. |
| Wystąpił błąd w obsłudze inicjalizacji SAML... (ogólny) | Konfiguracja nie powiodła się z nieoczekiwanego powodu. | Spróbuj ponownie. W razie powtórzenia przechwyć czas i adres URL dla pomocy technicznej. |
| (Różne komunikaty weryfikacyjne) | Wyświetlany, gdy tworzenie rekordu użytkownika SAML nie powiedzie się (dokładny tekst zależy od walidacji). | Przykład: Identyfikator SAML jest już używany przez innego użytkownika w organizacji. |
Administrator: import metadanych SAML (przepływy API/administratora)
| Wiadomość | Co to znaczy | Najczęstsze przyczyny |
| Nie można przeanalizować metadanych XML | Plik nie jest prawidłowym plikiem XML. | Pobrano błędny plik; strona błędu HTML została zapisana jako .xml. |
| Nie można znaleźć IDPSSODescriptor w metadanych XML | Brak metadanych IdP (lub błędny profil). | Metadane SP zostały przesłane przez pomyłkę; plik został przycięty. |
| Nie można znaleźć podpisującego certyfikatu X.509 | Brak certyfikatu podpisu w metadanych, tam gdzie oczekiwano. | Metadane bez<KeyDescriptor use="signing"> ; metadane wyłącznie szyfrowane. |
| Nie można znaleźć usługi SingleSignOnService w pliku XML metadanych | Nie zadeklarowano punktu końcowego SSO. | Niekompletny eksport z dostawcy tożsamości. |
| Nie znaleziono obsługiwanego powiązania SingleSignOnService | Istnieje adres URL logowania jednokrotnego, ale Workiva nie obsługuje powiązania w przypadku importu. | Tylko nietypowe powiązanie; stary szablon IdP. |
| OSTRZEŻENIE: Twój plik metadanych zawiera {n} certyfikatów podpisu... | Wykryto wiele certyfikatów podpisujących. Może być konieczne ręczne wybranie właściwego. | Okres rotacji dostawcy tożsamości z kilkoma aktywnymi certyfikatami. |
Administrator: Masowy import pliku identyfikatorów SAML
| Wiadomość | Co to znaczy | Najczęstsze przyczyny |
| Pominięto wiersz {n}, ponieważ brakuje identyfikatora SAML i/lub nazwy użytkownika Wdesk | Puste komórki w tym wierszu. | Plik CSV edytowany w programie Excel; końcowe wiersze są puste. |
| Pominięto wiersz {n} z powodu zduplikowanej nazwy użytkownika w pliku csv | Ta sama nazwa użytkownika Workiva pojawia się dwa razy. | Błąd kopiowania/wklejania arkusza kalkulacyjnego. |
| Nazwa użytkownika {name} nie została znaleziona lub nie jest członkiem tego konta | Brak użytkownika pasującego do tego wiersza w organizacji. | Literówka w nazwie użytkownika; użytkownik w innej organizacji. |
| Pominięto użytkownika {name}, ponieważ główna organizacja użytkownika nie pasuje. | Organizacja domowa użytkownika nie jest tą domeną. | Do importu wybrano niewłaściwy obszar; konto kontrahenta. |
Bezpieczeństwo i kontrola konta
| Wiadomość | Co to znaczy | Najczęstsze przyczyny |
| Żądanie SAML zablokowane z powodu reguł weryfikacji bezpieczeństwa konta | Wylogowanie lub żądanie SAML nie przeszło wewnętrznej kontroli bezpieczeństwa dla tej organizacji/konfiguracji. | Blokada mechanizmu zasad; podejrzany wzorzec; wsparcie może wymagać wewnętrznych dzienników. |
Diagnostyka techniczna (zorientowana na wsparcie)
| Wiadomość | Co to znaczy | Najczęstsze przyczyny |
| SAMLResponse: po którym następują zakodowane dane | W przypadku niepowodzenia uwierzytelnienia SAML rejestrowano surową odpowiedź SAML w celu rozwiązania problemu z pomocą techniczną. | Rejestrowane automatycznie w przypadku wystąpienia pewnych błędów, nie jest samo w sobie „zdaniem o błędzie”. |