Workiva kan spela in korta SAML-relaterade meddelanden när inloggnings- eller konfigurationssteg misslyckas. Använd meddelandeformuleringen som visas i tabellerna nedan för att söka i din organisations SAML-aktivitetslogg eller supportärenden. Meddelanden kan innehålla ditt SAML-konfigurationsnamn, användarnamn eller andra värden, vilka representeras av platshållare, som {name}.
Hänvisa sedan till meddelandets vanliga orsaker när du arbetar med ditt IT-team eller Workiva-supporten för att lösa felen.
Obs: Om meddelandet innehåller "SAML Consumer" eller "Saml Logout" kommer den texten från SAML-bearbetningssteget – det underliggande problemet ligger vanligtvis i certifikaten, svarsformeneller Workiva-konfigurationen.
Användare, konton och mappning
| Meddelande | Vad det betyder | Vanliga orsaker |
| SAML-autentisering misslyckades för användaren {user} (SAML-ID {samlId}). Användaren är avstängd. | IdP:n autentiserade användaren, men Workiva-kontot är avstängt. |
Administratören stängde av användaren; efterlevnadsspärr.
|
| SAML-autentisering misslyckades på grund av ett fel vid validering av påståenden ({detail}). | Valideringen av påståendet misslyckades; detaljen kan namnge regeln (varierar). | Målgrupp/mottagare matchar inte; villkor misslyckades; anpassad valideringsfel. |
| SAML-autentisering misslyckades för användaren {user} (SAML-ID {samlId}). Användarens IP-adress finns inte med på tillåtelselistan. | IP-tillåtelselistan blockerade denna inloggning. |
VPN avstängt; ny IP-adress för kontoret; tillåtelselistan är inte uppdaterad.
|
| Den oautentiserade användaren {username} kan inte mappas till SAML-ID {samlId} utanför sitt primära konto/organisation. | En användare finns någon annanstans men kan inte kopplas till denna organisation via SAML i detta sammanhang. |
Fel organisations-URL; användarens hemorganisation skiljer sig åt; inloggningsförsök mellan olika organisationer.
(Kontakta supporten för att få hjälp med detta) |
| SAML-association misslyckades för användaren {displayName} | Valideringen av länkningen av Workiva-användaren till SAML-ID:t misslyckades. | Dubblett av SAML-ID; ogiltiga tecken; affärsregler på mappningen. |
| Inloggningsförsök från oassocierat SAML-ID {samlId}. Överväg att konfigurera detta SAML-ID för motsvarande Wdesk-användare. | SSO krävs för organisationen, men detta NameID är inte mappat till en användare. |
Nyanställd inte etablerad; SAML ID-stavfel; fel IdP-katalog för denna organisation.
(Se avsnittet nedan för steg om hur du åtgärdar detta fel) |
| Ny SAML-användare för SAML-ID {samlId} - omdirigerar till inloggning för att slutföra SAML-initialiseringen | Förstagångsflöde för SAML-användare: användaren måste slutföra installationen efter IdP-inloggning. | Förväntas vid första SAML-inloggningen när SSO inte krävs; användaren slutför mappningen. |
Åtgärda SSO-inloggningsfel
När en användare inte kan logga in med SSO kan det bero på felaktig användarmappning. För att åtgärda detta:
- Försök att få datum och tid för det misslyckade SSO-försöket.
- I aktivitetsloggen bläddrar du igenom tabellen för att komma till loggarna som inträffade vid datumet och tidpunkten för det misslyckade SSO-försöket.
- Leta efter meddelandet "Inloggningsförsök från oassocierat SAML-ID {samlId}". Överväg att konfigurera detta SAML-ID för motsvarande Wdesk-användare." ("{samlId}" är en platshållare för din användares specifika SAML-ID.)
- Ta värdet för {samlId} och navigera till avsnittet Användarmappning i din SSO-konfiguration.
- Sök efter din användares användarnamn under kolumnen Användarnamn i tabellen.
- I tabellen dubbelklickar du på fältet SSO-ID bredvid användaren och anger värdet för {samlId} som du hämtade från aktivitetsloggen.
- Klicka på Spara konfiguration.
- Be användaren att försöka logga in med SSO igen.
Inloggning och SAML-svarsbehandling
| Meddelande | Vad det betyder | Vanliga orsaker |
| Misslyckades med att avserialisering av autentiseringsbegäran. | Webbläsaren eller IdP:n skickade data som tjänsten inte kunde läsa som en giltig SAML-begäran. | Avkortad eller skadad begäran; proxy-strippning av POST-text; mycket gammal eller icke-SAML-POST till inloggnings-URL:en. |
| Ett ogiltigt XML-objekt mottogs. Svarsdata felaktigt utformade eller ofullständiga. | SAML-svarets XML kunde inte tolkas eller så var den avbruten. | Felkonfiguration av IdP; lastbalanserare eller proxy som ändrar svaret; nätverksavbrott; inklistrad/redigerad XML i tester. |
| SAML-påståendet är ogiltigt. | Påståendet misslyckades med strukturella kontroller eller policykontroller före användarmappning. | Klockförskjutning; fel målgrupp; påståendet har löpt ut; felaktigt formaterat påståendeinnehåll. |
| (Texten varierar — innehåller ofta tekniska detaljer från invalid_response / invalid_destination) | Något i SAML-svaret stämde inte överens med vad Workiva förväntar sig (destination, struktur etc.). | ACS URL-matchningsfel; felaktigt enhets-ID; svar skickat till fel miljö; IdP skickar ett fel Status utan användbar kontroll. |
| Svarets eller påståendets signatur var ogiltig… X.509-certifikat som konfigurerats i Wdesk matchar din IdP:s certifikat | Verifiering av kryptografisk signatur misslyckades. |
IdP:n roterade signeringscertifikatet men Workiva har fortfarande det gamla certifikatet; fel certifikat inklistrat i Workiva; signerar på fel element; flera certifikat och IdP:n använder inte det du förväntar dig.
|
| SAML-namnidentifierare saknas eller är tom | Namn-ID (eller motsvarande ämne) saknades eller var tomt. | IdP släpper inte NameID; mappningen skickar tomt värde; fel NameID-format valt på IdP. |
| Misslyckades med att dekryptera en påstående eller ett namn-ID. | Krypterat SAML-innehåll kunde inte dekrypteras med dina SP-inställningar. | Krypteringscertifikatet matchar inte; IdP-kryptering med ett certifikat som Workiva inte har; korrupt chiffertext. |
| Påståendets utfärdare matchar inte den konfigurerade utfärdaren i Wdesk | Utfärdaren i SAML-meddelandet matchar inte din SAML-konfiguration. |
Stavfel i utfärdarens URL; IdP använder aliasutfärdare; staging kontra produktions-IdP.
(Kontrollera den här loggen för information om begäran som kan hjälpa dig att åtgärda SSO-konfigurationen) |
| Kunde inte hitta SAML-konfigurationen för begäran. | Ingen SAML-konfiguration matchade denna begäran (registreringen hittades inte). | Fel URL-sökväg / SAML-konfigurations-ID; inaktiverad eller borttagen konfiguration; bokmärk till gammal URL. |
| Ett fel uppstod i SAML Consumer… (generiskt) | Inloggningen misslyckades på ett sätt som inte är mappat till en specifik SAML-kod ovan. | Ovanligt IdP-beteende; tillfällig integrationsbugg; bästa nästa steg är en HAR- eller IdP-inloggningslogg plus detta meddelande. |
| Ett fel uppstod vid Saml-utloggning… (generiskt) | Utloggningsbegäran misslyckades på ett sätt som inte är kopplat till en specifik kod. | Samma idé som konsument: samla in IdP-utloggningslogg och korrelationstid. |
Certifikat (signering / validering)
| Meddelande | Vad det betyder | Vanliga orsaker |
| X509-certifikatet är felaktigt formaterat eller har gått ut. Om detta är angivet kommer alt X509-certifikatet att användas. | Primärt IdP-signeringscertifikat i Workiva är ogiltigt eller har utgångit; systemet kan återgå till ett alternativt certifikat. | Utgånget certifikat; PEM-formateringsfel; extra mellanslag eller saknade rubriker. |
| Alt X509-certifikatet är felaktigt formaterat eller har gått ut. | Det alternativa certifikatet är också felaktigt eller har utgångit. | Båda certifikaten behöver förnyas; kopierings-/klistrafel på det andra certifikatet. |
| Inga X509-certifikat har ställts in för SAML-konfiguration. | Varken primärt eller alternativt signeringsintyg lagras. | Ny konfiguration; certifikat rensade; import av metadata fylldes inte i certifikatet. |
Svarsform, påståenden och "inslagna" svar
| Meddelande | Vad det betyder | Vanliga orsaker |
| Potentiell XSW upptäckt: Svarselement hittades inte | SAML-nyttolasten innehöll inte en enda, normal<Response> rot som förväntat. | Felaktig XML; ovanlig IdP-paketering; manipuleringsförsök; trasig mellanprogramvara. |
| Potentiell XSW upptäckt: Flera svarselement hittades | Mer än ett SAML-svar i nyttolasten. | Sällsynt IdP-bugg; sammanfogade svar; proxy-sammanfogning av kroppar felaktigt. |
| Inget assertion-element hittades... kontrollera SAML-svaret för StatusCode-autentiseringsfel från din identitetsleverantör. | Det fanns ingen intyg om att logga in användaren – ofta en avslag på IdP-sidan. | Fel lösenord; MFA-fel; IdP-policy nekad användare; användaren är inte licensierad på IdP-sidan. |
| Potentiell XSW upptäckt: Flera assertion- och EncryptedAssertion-element upptäckta | Både klartext och krypterade påståenden finns (ej tillåtet). | Ovanlig IdP-konfiguration; anpassning för att skicka duplicerat innehåll. |
| Potentiell XSW upptäckt: Flera påståenden upptäckta - endast en tillåts av Wdesk | Mer än ett påstående i ett svar. | IdP som skickar grupperade påståenden; federationsaggregatorer. |
| Potentiell XSW upptäckt: Flera krypterade assertioner upptäckta - endast en är tillåten av Wdesk | Mer än en krypterad påstående. | Samma familj av orsaker som flera påståenden. |
*”XSW” hänvisar till misstänkta svarsmönster som tjänsten blockerar för säkerhets skull.
Workiva-konfiguration och URL:er
| Meddelande | Vad det betyder | Vanliga orsaker |
| Det gick inte att hitta en SAML-konfiguration för id {id} / Det gick inte att hitta SAML-konfiguration för {id} | Det finns ingen SAML-post för den identifieraren. | Fel {id} i URL:en; konfigurationen raderad; stavfel i länken eller integrationen. |
| SAML-konfigurationen {name} är för närvarande inte aktiverad och kan inte användas för autentisering | SAML finns men är avstängt för den organisationen. | Administratören inaktiverade SAML; ändringar frystes; testar en annan IdP. |
| SAML-konfigurationen {name} är inte minimalt konfigurerad och kan inte användas för autentisering | Obligatoriska fält (till exempel IdP-URL, bindning eller certifikat) är ofullständiga. | Installationen är inte klar; import av metadata är ofullständig; utkast till konfiguration. |
| Det gick inte att hitta organisationen som är associerad med denna SAML-konfiguration {id} | Intern länk mellan SAML-konfiguration och organisation saknas. | Datainkonsekvens; supporten behöver vanligtvis utreda. |
| SAML-konfigurationsmatchning som angetts i ID:t saknar en URL för utloggningssvar | Utloggnings-URL:en är inte angiven där appen förväntar sig den. | Utloggning är inte konfigurerad i SAML-konfigurationen; metadata saknar URL för enkel utloggning. |
Ämne / NamnID och attribut
| Meddelande | Vad det betyder | Vanliga orsaker |
| Det gick inte att hitta SAML-subjektet i attributet Name={name}-elementet... | Workiva är konfigurerat för att läsa SAML-ID:t från ett specifikt attribut, men det attributet eller den satsen saknas. | Attributet skickades inte; fel attributnamn; attribut i assertion men fel namnrymd/format. |
Logga ut
| Meddelande | Vad det betyder | Vanliga orsaker |
| Saknad SAMLRequest-parameter | IdP eller webbläsare träffade utloggningsslutpunkten utan en SAML-utloggningsbegäran. | Felkonfigurerad IdP-utloggnings-URL; manuellt URL-besök; trasig djuplänk. |
| Det gick inte att hitta en SAML-konfiguration som matchar det angivna ID:t | Utloggningen refererade till en okänd SAML-konfiguration. | Fel samlConfig i sökväg eller parameter. |
Slutför SAML-användarkonfigurationen (efter första IdP-inloggningen)
| Meddelande | Vad det betyder | Vanliga orsaker |
| SAML-användarinitialisering misslyckades - valideringsfel för säkerhetstoken | Engångsinstallationstoken saknades, var felaktig eller hade löpt ut. | Bokmärkt gammal länk; tog för lång tid att slutföra; cookie blockerad; länk öppnad i annan webbläsare. |
| Ett fel uppstod i SAML-initialiseringshanteraren... (generiskt) | Installationen misslyckades av en oväntad anledning. | Försök igen; om det upprepas, registrera tid och URL för support. |
| (Olika valideringsmeddelanden) | Visas när det misslyckas att skapa SAML-användarposten (exakt text beror på valideringen). | Exempel: SAML-ID används redan av en annan användare i organisationen. |
Admin: Import av SAML-metadata (API/adminflöden)
| Meddelande | Vad det betyder | Vanliga orsaker |
| Det gick inte att analysera metadata-XML:en | Filen är inte giltig XML. | Fel fil nedladdad; HTML-felsidan sparad som .xml. |
| Det går inte att hitta IDPSSODescriptor i metadata-XML:en. | Inte IdP-metadata (eller fel profil). | SP-metadata uppladdade av misstag; trimmad fil. |
| Det gick inte att hitta ett signerande X.509-certifikat | Inget signeringscertifikat i metadata där det förväntades. | Metadata utan<KeyDescriptor use="signing"> ; endast krypterad metadata. |
| Det går inte att hitta en SingleSignOnService i metadata-XML:en | Ingen SSO-slutpunkt deklarerad. | Ofullständig export från IdP. |
| Ingen stödd SingleSignOnService-bindning hittades | SSO-URL finns men bindning är inte en som Workiva stöder för import. | Endast ovanlig bindning; gammal IdP-mall. |
| VARNING: Din metadatafil innehåller {n} signeringscertifikat... | Flera signeringscertifikat upptäcktes; du kan behöva välja rätt manuellt. | IdP-rotationsperiod med flera aktiva certifikat. |
Admin: Massimport av SAML ID-filer
| Meddelande | Vad det betyder | Vanliga orsaker |
| Hoppar över rad {n} eftersom SAML-ID och/eller Wdesk-användarnamn saknas | Tomma celler i den raden. | CSV-filen är redigerad i Excel; tomma rader efterföljer. |
| Hoppar över rad {n} på grund av duplicerat användarnamn i csv | Samma Workiva-användarnamn förekommer två gånger. | Fel vid kopiering/klistring av kalkylblad. |
| Användarnamnet {name} hittades inte eller är inte medlem i det här kontot | Ingen matchande användare i organisationen för den raden. | Stavfel i användarnamnet; användare i annan organisation. |
| Hoppar över användaren {name} eftersom användarens primära organisation inte matchar. | Användarens hemorganisation är inte denna sfär. | Fel sfär vald för import; leverantörskonto. |
Säkerhets- och kontokontroller
| Meddelande | Vad det betyder | Vanliga orsaker |
| SAML-begäran blockerad på grund av säkerhetsvalideringsregler för kontot | Utloggning eller SAML-begäran misslyckades med en intern säkerhetskontroll för den organisationen/konfigurationen. | Policymotorblockering; misstänkt mönster; supporten kan behöva interna loggar. |
Teknisk diagnostik (supportorienterad)
| Meddelande | Vad det betyder | Vanliga orsaker |
| SAMLResponse: följt av kodad data | Ett rått SAML-svar loggades när SAML-autentiseringen misslyckades, för felsökning med supporten. | Registreras automatiskt vid vissa fel; inte en "felmening" i sig. |