A Workiva pode gravar mensagens curtas relacionadas ao SAML quando as etapas de login ou configuração falham. Utilize a redação da mensagem conforme mostrado nas tabelas abaixo para pesquisar o registro de atividades SAML da sua organização ou os chamados de suporte. As mensagens podem incluir o nome da sua configuração SAML, nome de usuário ou outros valores, que são representados por marcadores, como {nome}.
Em seguida, consulte as causas comuns da mensagem enquanto trabalha com sua equipe de TI ou com o Suporte da Workiva para resolver os erros.
Nota: Se a mensagem incluir "Consumidor SAML" ou "Logout SAML", esse texto vem da etapa de processamento SAML – o problema subjacente geralmente está nos certificados, formato de respostaou configuração do Workiva.
Usuários, contas e mapeamento
| Mensagem | O que significa | Causas comuns |
| A autenticação SAML falhou para o usuário {user} (ID SAML {samlId}). O usuário está suspenso. | O IdP autenticou o usuário, mas a conta Workiva está suspensa. |
Administrador suspendeu o usuário; retenção por conformidade.
|
| A autenticação SAML falhou devido a uma falha na validação da declaração ({detail}). | A validação da asserção falhou; os detalhes podem incluir o nome da regra (varia). | Incompatibilidade entre público-alvo e destinatário; condição falhou; falha no validador personalizado. |
| A autenticação SAML falhou para o usuário {user} (ID SAML {samlId}). O endereço IP do usuário não está na lista de permissões. | A lista de permissões de IP bloqueou este login. |
VPN desativada; novo IP do escritório; lista de permissões não atualizada.
|
| O usuário não autenticado {username} não pode ser mapeado para o ID SAML {samlId} fora de sua conta/organização principal. | O usuário existe em outro lugar, mas não pode ser vinculado a esta organização via SAML neste contexto. |
URL da organização incorreta; a organização de origem do usuário é diferente; tentativa de login entre organizações diferentes.
(Contate o suporte para ajudá-lo a resolver isso) |
| A associação SAML falhou para o usuário {displayName} | A vinculação do usuário Workiva ao ID SAML falhou na validação. | ID SAML duplicado; caracteres inválidos; regras de negócio no mapeamento. |
| Tentativa de login a partir de um ID SAML não associado {samlId}. Considere configurar este ID SAML para o usuário Wdesk correspondente. | O SSO é obrigatório para a organização, mas este NameID não está associado a um usuário. |
Novo funcionário não provisionado; erro de digitação no ID SAML; diretório IdP incorreto para esta organização.
(Consulte a seção abaixo para obter instruções sobre como resolver este erro) |
| Novo usuário SAML para o ID SAML {samlId} - redirecionando para a página de login para concluir a inicialização do SAML. | Fluxo de usuário SAML pela primeira vez: o usuário deve concluir a configuração após o login no IdP. | Esperado no primeiro login SAML quando o SSO não é necessário; usuário concluindo o mapeamento. |
Resolver falhas de login SSO
Quando um usuário não consegue fazer login com SSO, isso pode ser devido a um mapeamento de usuário incorreto. Para corrigir isso:
- Tente obter a data e a hora da tentativa de SSO que falhou.
- No registro de atividades, role a tabela para encontrar os registros que ocorreram na data e hora da tentativa de SSO que falhou.
- Procure pela mensagem "Tentativa de login de um ID SAML não associado {samlId}". Considere configurar este ID SAML para o usuário Wdesk correspondente." ("{samlId}" é um espaço reservado para o ID SAML específico do seu usuário.)
- Pegue o valor de {samlId} e navegue até a seção Mapeamento de usuário da sua configuração de SSO.
- Procure o nome de usuário do seu usuário na coluna Nome de usuário da tabela.
- Na tabela, clique duas vezes no campo ID SSO ao lado do usuário e insira o valor de {samlId} que você obteve do registro de atividades.
- Clique em Salvar configuração.
- Peça ao usuário para tentar fazer login novamente com o SSO.
Processamento de login e resposta SAML
| Mensagem | O que significa | Causas comuns |
| Falha ao desserializar a solicitação de autenticação. | O navegador ou o IdP enviou dados que o serviço não conseguiu ler como uma solicitação SAML válida. | Requisição truncada ou corrompida; remoção de dados do corpo da requisição POST por proxy; requisição POST muito antiga ou não SAML para a URL de login. |
| Foi recebido um objeto XML inválido. Dados de resposta malformados ou incompletos. | O XML de resposta SAML não pôde ser analisado ou foi truncado. | Configuração incorreta do IdP; balanceador de carga ou proxy alterando a resposta; interrupção de rede; XML colado/editado nos testes. |
| A declaração SAML não é válida. | A afirmação falhou nas verificações estruturais ou de política antes do mapeamento do usuário. | Distorção do relógio; público-alvo incorreto; afirmação expirada; conteúdo da afirmação malformado. |
| (O texto varia — geralmente inclui detalhes técnicos de invalid_response / invalid_destination) | Algo na resposta SAML não correspondeu ao que a Workiva esperava (destino, estrutura, etc.). | URL do ACS incompatível; ID da entidade incorreto; resposta enviada para o ambiente errado; IdP enviando um status de erro sem nenhuma asserção utilizável. |
| A assinatura da resposta ou declaração era inválida… O(s) certificado(s) X.509 configurado(s) no Wdesk correspondem ao certificado do seu IdP. | A verificação da assinatura criptográfica falhou. |
O IdP alterou o certificado de assinatura, mas a Workiva ainda possui o certificado antigo; certificado incorreto colado na Workiva; assinatura no elemento errado; múltiplos certificados e o IdP não está usando o esperado.
|
| Identificador de nome SAML ausente ou vazio | O campo NameID (ou assunto equivalente) estava ausente ou em branco. | O IdP não está liberando o NameID; o mapeamento envia um valor vazio; formato de NameID incorreto selecionado no IdP. |
| Falha ao descriptografar uma declaração ou um ID de nome. | O conteúdo SAML criptografado não pôde ser descriptografado com as suas configurações de SP. | Incompatibilidade de certificado de criptografia; IdP criptografando com um certificado que a Workiva não possui; texto cifrado corrompido. |
| O emissor da declaração não corresponde ao emissor configurado no Wdesk. | O emissor na mensagem SAML não corresponde à sua configuração SAML. |
Erro de digitação no URL do emissor; IdP usando alias de emissor; IdP de teste versus IdP de produção.
(Consulte este registro para obter detalhes da solicitação que ajudarão você a corrigir a configuração do SSO) |
| Não foi possível encontrar a configuração SAML para a solicitação. | Nenhuma configuração SAML correspondeu a esta solicitação (registro não encontrado). | Caminho de URL incorreto / ID de configuração SAML incorreto; configuração desativada ou excluída; adicione o URL antigo aos favoritos. |
| Ocorreu um erro no consumidor SAML… (genérico) | A autenticação falhou de uma forma que não está mapeada para nenhum código SAML específico acima. | Comportamento incomum do IdP; bug de integração transitório; a melhor próxima etapa é um HAR ou um log de login do IdP, além desta mensagem. |
| Ocorreu um erro no Saml Logout… (genérico) | A solicitação de logout falhou de uma forma não mapeada para um código específico. | A ideia é a mesma do consumidor: coletar o log de logout do IdP e o tempo de correlação. |
Certificados (assinatura/validação)
| Mensagem | O que significa | Causas comuns |
| O certificado X509 está formatado incorretamente ou expirou. Se configurado, será utilizado um certificado X509 alternativo. | O certificado de assinatura do IdP primário no Workiva é inválido ou expirou; o sistema pode recorrer a um certificado alternativo. | Certificado expirado; erro de formatação PEM; espaços extras ou cabeçalhos ausentes. |
| O certificado X509 alternativo está formatado incorretamente ou expirou. | O certificado alternativo também é inválido ou está expirado. | Ambos os certificados precisam ser renovados; erro de copiar/colar no segundo certificado. |
| Nenhum certificado X509 foi configurado para a configuração SAML. | Nem o certificado de assinatura primário nem o alternativo estão armazenados. | Nova configuração; certificados limpos; a importação de metadados não gerou o certificado. |
Formato da resposta, afirmações e respostas "encapsuladas".
| Mensagem | O que significa | Causas comuns |
| Possível XSW detectado: Elemento de resposta não encontrado | A carga útil SAML não continha um único caractere normal.<Response> raiz conforme o esperado. | XML malformado; empacotamento IdP incomum; tentativa de adulteração; middleware corrompido. |
| Possível XSW detectado: Vários elementos de resposta encontrados | Mais de uma resposta SAML no payload. | Bug raro no IdP; respostas concatenadas; corpo de proxy mesclando incorretamente. |
| Nenhum elemento de asserção encontrado... verifique a resposta SAML para falhas de autenticação com código de status do seu provedor de identidade. | Não houve nenhuma solicitação para autenticar o usuário — o que geralmente resulta em uma negação por parte do provedor de identidade (IdP). | Senha incorreta; falha na autenticação multifator (MFA); política do provedor de identidade (IdP) negou acesso ao usuário; usuário não licenciado no provedor de identidade (IdP). |
| Possível XSW detectado: múltiplos elementos Assertion e EncryptedAssertion detectados | Apresentam-se tanto declarações em texto claro quanto criptografadas (não permitido). | Configuração incomum do IdP; personalização enviando conteúdo duplicado. |
| Possível XSW detectado: Múltiplas asserções detectadas - apenas uma é permitida pelo Wdesk | Mais de uma afirmação em uma única resposta. | IdP enviando declarações agrupadas; agregadores de federação. |
| Possível XSW detectado: Múltiplas asserções criptografadas detectadas - apenas uma é permitida pelo Wdesk | Mais de uma declaração criptografada. | Mesma família de causas que afirmações múltiplas. |
*“XSW” refere-se a padrões de encapsulamento de resposta suspeitos que o serviço bloqueia por motivos de segurança.
Configuração e URLs do Workiva
| Mensagem | O que significa | Causas comuns |
| Não foi possível encontrar uma configuração SAML para o ID {id} / Não foi possível encontrar uma configuração SAML para {id} | Não existe nenhum registro SAML para esse identificador. | {id} incorreto na URL; configuração excluída; erro de digitação no link ou na integração. |
| A configuração SAML {name} não está habilitada no momento e não pode ser usada para autenticação. | O SAML existe, mas está desativado para essa organização. | Administrador desativou o SAML; congelamento de alterações; testando outro IdP. |
| A configuração SAML {name} não está configurada minimamente e não pode ser usada para autenticação. | Os campos obrigatórios (por exemplo, URL do IdP, vinculação ou certificados) estão incompletos. | Configuração não concluída; importação de metadados incompleta; configuração em rascunho. |
| Não foi possível encontrar a organização associada a esta configuração SAML {id} | Falta um link interno entre a configuração SAML e a organização. | Inconsistência nos dados; geralmente é necessário investigar por parte do suporte. |
| A configuração SAML correspondente ao ID fornecido não possui uma URL de resposta de logout. | O URL de logout não está configurado onde o aplicativo espera. | O logout não está configurado na configuração SAML; metadados ausentes. URL de logout único. |
Assunto/NameID e atributos
| Mensagem | O que significa | Causas comuns |
| Não foi possível encontrar o sujeito SAML no elemento Attribute Name={name}... | O Workiva está configurado para ler o ID SAML de um atributo específico, mas esse atributo ou declaração está faltando. | Atributo não enviado; nome de atributo incorreto; atributo na asserção, mas com namespace/formato incorreto. |
Sair
| Mensagem | O que significa | Causas comuns |
| Parâmetro SAMLRequest ausente | O IdP ou o navegador acessaram o endpoint de logout sem uma solicitação de logout SAML. | URL de logout do IdP mal configurada; acesso manual à URL; link direto quebrado. |
| Não foi possível encontrar uma configuração SAML que corresponda ao ID fornecido. | O erro de logout fez referência a uma configuração SAML desconhecida. | Configuração saml incorretano caminho ou parâmetro.
|
Concluindo a configuração do usuário SAML (após o primeiro login no IdP)
| Mensagem | O que significa | Causas comuns |
| Falha na inicialização do usuário SAML - erro de validação do token de segurança | O token de configuração única estava ausente, incorreto ou expirado. | Link antigo adicionado aos favoritos; demorou muito para carregar; cookie bloqueado; link aberto em outro navegador. |
| Ocorreu um erro no manipulador de inicialização SAML... (genérico) | A instalação falhou por um motivo inesperado. | Tente novamente; se a tentativa for repetida, anote o horário e o URL para o suporte. |
| (Diversas mensagens de validação) | Exibido quando a criação do registro de usuário SAML falha (o texto exato depende da validação). | Exemplo: ID SAML já utilizado por outro usuário na organização. |
Administração: Importação de metadados SAML (fluxos de API/administração)
| Mensagem | O que significa | Causas comuns |
| Não foi possível analisar o XML de metadados. | O arquivo não é um XML válido. | Arquivo baixado incorretamente; página de erro HTML salva como .xml. |
| Não foi possível encontrar o descritor IDPSSO nos metadados XML. | Não são metadados do IdP (ou o perfil está incorreto). | Metadados SP carregados por engano; arquivo truncado. |
| Não foi possível encontrar um certificado X.509 para assinatura. | Não há certificado de assinatura nos metadados onde era esperado. | Metadados sem<KeyDescriptor use="signing"> ; metadados somente criptografados. |
| Não foi possível encontrar um SingleSignOnService nos metadados XML. | Nenhum ponto de extremidade SSO declarado. | Exportação incompleta do IdP. |
| Não foi encontrada nenhuma associação SingleSignOnService compatível. | O URL de SSO existe, mas o tipo de vinculação não é compatível com a importação suportada pelo Workiva. | Vinculação incomum apenas; modelo IdP antigo. |
| AVISO: Seu arquivo de metadados contém {n} certificados de assinatura... | Vários certificados de assinatura foram detectados; talvez seja necessário selecionar o correto manualmente. | Período de rotação do IdP com vários certificados ativos. |
Administrador: Importação em massa de arquivos de ID SAML
| Mensagem | O que significa | Causas comuns |
| A linha {n} foi ignorada porque o ID SAML e/ou o nome de usuário do Wdesk estão ausentes. | Células vazias nessa linha. | Arquivo CSV editado no Excel; linhas vazias no final. |
| A linha {n} foi ignorada devido a um nome de usuário duplicado no arquivo CSV. | O mesmo nome de usuário do Workiva aparece duas vezes. | Erro ao copiar/colar planilha. |
| O nome de usuário {name} não foi encontrado ou não pertence a esta conta. | Não existe nenhum usuário correspondente na organização para essa linha. | Erro de digitação no nome de usuário; usuário em organização diferente. |
| O usuário {name} foi ignorado porque a organização principal do usuário não corresponde. | A organização de origem do usuário não é este domínio. | Domínio incorreto selecionado para importação; conta do contratante. |
Controles de segurança e de conta
| Mensagem | O que significa | Causas comuns |
| A solicitação SAML foi bloqueada devido às regras de validação de segurança da conta. | O logout ou a solicitação SAML falhou devido a uma verificação de segurança interna para essa organização/configuração. | Bloqueio do mecanismo de políticas; padrão suspeito; o suporte pode precisar de registros internos. |
Diagnóstico técnico (com foco em suporte)
| Mensagem | O que significa | Causas comuns |
| SAMLResponse: seguido por dados codificados | Uma resposta SAML bruta foi registrada quando a autenticação SAML falhou, para fins de resolução de problemas com o suporte. | Capturado automaticamente em determinadas falhas; não é uma "mensagem de erro" por si só. |