当登录或配置步骤失败时,Workiva 可以记录与 SAML 相关的简短消息。使用下表所示的消息措辞搜索您组织的 SAML 活动日志或支持工单。消息可能包含您的 SAML 配置名称、用户名或其他值,这些值用占位符表示,例如 {name}。
然后,在与您的 IT 团队或 Workiva 支持团队合作解决错误时,请参考该消息的常见原因。
注: 如果消息包含“SAML Consumer”或“SAML Logout”,则该文本来自 SAML 处理步骤——根本问题通常出在 证书、 响应形状或 Workiva 配置上。
用户、帐户和映射
| 信息 | 它的含义 | 常见原因 |
| 用户 {user}(SAML ID {samlId})的 SAML 身份验证失败。用户已被暂停。 | 身份提供商已验证用户身份,但 Workiva 帐户已被暂停。 |
管理员已暂停该用户;出于合规考虑。
|
| 由于断言验证失败,SAML 身份验证失败({detail})。 | 断言验证失败;详细信息可能包含规则名称(因情况而异)。 | 受众/接收者不匹配;条件失败;自定义验证器失败。 |
| 用户 {user}(SAML ID {samlId})的 SAML 身份验证失败。用户IP地址不在允许列表中。 | IP地址白名单阻止了此次登录。 |
VPN已关闭;新的办公室IP地址;白名单未更新。
|
| 未经身份验证的用户 {username} 无法映射到其主帐户/组织之外的 SAML ID {samlId}。 | 在此上下文中,该用户存在于其他地方,但无法通过 SAML 与此组织关联。 |
组织 URL 错误;用户所属组织不同;尝试跨组织登录。
(请联系客服 寻求帮助) |
| 用户 {displayName} 的 SAML 关联失败 | 将 Workiva 用户与 SAML ID 关联验证失败。 | 重复的 SAML ID;无效字符;映射中的业务规则。 |
| 来自未关联的 SAML ID {samlId} 的登录尝试。请考虑为相应的 Wdesk 用户配置此 SAML ID。 | 组织需要 SSO,但此 NameID 未映射到用户。 |
新员工未配置;SAML ID 拼写错误;此组织的身份提供商目录错误。
(请参阅下方 部分,了解如何解决此错误) |
| 为 SAML ID {samlId} 创建新的 SAML 用户 - 重定向到登录页面以完成 SAML 初始化 | 首次使用 SAML 的用户流程:用户必须在身份提供商 (IdP) 登录后完成设置。 | 首次使用 SAML 登录且不需要 SSO 时预期会执行此操作;用户正在完成映射。 |
解决单点登录失败问题
当用户无法使用 SSO 登录时,可能是由于用户映射不正确造成的。要解决这个问题:
- 尝试获取 SSO 失败尝试的日期和时间。
- 在活动日志中,滚动表格以查找在 SSO 尝试失败的日期和时间发生的日志。
- 查找消息“来自未关联的 SAML ID {samlId} 的登录尝试。请考虑为相应的 Wdesk 用户配置此 SAML ID。(“{samlId}”是您用户特定 SAML ID 的占位符。)
- 获取 {samlId} 的值,并导航到 SSO 配置的 用户映射 部分。
- 在表格的 用户名 列下查找您的用户名。
- 在表格中,双击用户旁边的 SSO ID 字段,然后输入从活动日志中获得的 {samlId} 值。
- 点击 保存配置。
- 请用户再次尝试使用 SSO 登录。
登录和SAML响应处理
| 信息 | 它的含义 | 常见原因 |
| 反序列化身份验证请求失败。 | 浏览器或身份提供商发送的数据无法被服务读取为有效的 SAML 请求。 | 请求被截断或损坏;代理剥离 POST 请求体;向登录 URL 发送非常旧的或非 SAML POST 请求。 |
| 收到了无效的 XML 对象。响应数据格式错误或不完整。 | SAML响应XML无法解析或被截断。 | 身份提供商配置错误;负载均衡器或代理更改响应;网络中断;测试中粘贴/编辑了 XML。 |
| SAML断言无效。 | 该断言在用户映射之前未通过结构或策略检查。 | 时钟偏差;受众错误;断言过期;断言内容格式错误。 |
| (文本内容各不相同——通常包含来自 invalid_response / invalid_destination 的技术细节) | SAML 响应中的某些内容与 Workiva 的预期不符(目标、结构等)。 | ACS URL 不匹配;实体 ID 错误;响应发送到错误的环境;IdP 发送错误状态,但没有可用的断言。 |
| 响应或断言的签名无效……Wdesk 中配置的 X.509 证书与您的身份提供商 (IdP) 的证书匹配。 | 加密签名验证失败。 |
IdP 已轮换签名证书,但 Workiva 仍使用旧证书;Workiva 中粘贴了错误的证书;在错误的元素上签名;存在多个证书,但 IdP 没有使用您期望的证书。
|
| 缺少或为空的 SAML 名称标识符 | 姓名 ID(或等效主题)缺失或为空。 | 身份提供商未发布名称 ID;映射发送空值;身份提供商上选择了错误的名称 ID 格式。 |
| 解密断言或名称 ID 失败。 | 您的服务提供商设置无法解密加密的 SAML 内容。 | 加密证书不匹配;IdP 使用 Workiva 没有的证书进行加密;密文已损坏。 |
| 断言的颁发者与 Wdesk 中配置的颁发者不匹配。 | SAML 消息中的颁发者与您的 SAML 配置不匹配。 |
颁发者 URL 拼写错误;使用别名颁发者的身份提供商;测试环境与生产环境的身份提供商。
(请查看此日志以获取请求详细信息,以帮助您修复 SSO 配置) |
| 找不到请求的 SAML 配置。 | 没有与此请求匹配的 SAML 设置(未找到注册信息)。 | URL路径/SAML配置ID错误;配置已禁用或已删除;书签指向旧URL。 |
| SAML 消费者(通用)中发生错误…… | 登录失败,但失败方式与上述特定 SAML 代码不匹配。 | 身份提供商行为异常;暂时性集成错误;下一步最好是提交 HAR 或身份提供商登录日志,并附上此消息。 |
| Saml 注销时发生错误……(通用) | 登出请求失败,但失败原因未与特定代码对应。 | 与消费者端相同:收集身份提供商注销日志和关联时间。 |
证书(签名/验证)
| 信息 | 它的含义 | 常见原因 |
| X509证书格式不正确或已过期。如果设置,将使用备用 X509 证书。 | Workiva 中的主 IdP 签名证书无效或已过期;系统可能会回退到备用证书。 | 证书已过期;PEM 格式错误;存在多余空格或缺少标头。 |
| Alt X509 证书格式不正确或已过期。 | 备用证书也无效或已过期。 | 两个证书都需要续期;第二个证书复制/粘贴错误。 |
| SAML 配置中未设置 X509 证书。 | 主签名证书和备用签名证书均未存储。 | 新配置;证书已清除;元数据导入未填充证书。 |
回应形式、断言和“包装式”回应
| 信息 | 它的含义 | 常见原因 |
| 检测到潜在 XSW:未找到响应元素 | SAML有效负载中没有包含任何正常的字符串。<Response>如预期般获取了root权限。 | XML格式错误;身份提供商打包异常;篡改企图;中间件损坏。 |
| 检测到潜在XSW:发现多个响应元素 | 有效负载中包含多个 SAML 响应。 | 罕见的身份提供商错误;连接响应;代理错误地合并主体。 |
| 未找到断言元素……请检查身份提供商返回的 SAML 响应,以查找状态代码身份验证失败的情况。 | 没有用户登录的请求——通常是身份提供商 (IdP) 端拒绝了该请求。 | 密码错误;多因素身份验证失败;身份提供商策略拒绝用户;用户未在身份提供商端获得许可。 |
| 检测到潜在的 XSW:检测到多个断言和加密断言元素 | 同时存在明文和加密断言(不允许)。 | 身份提供商配置异常;自定义设置发送重复内容。 |
| 检测到潜在的 XSW:检测到多个断言 - Wdesk 只允许一个断言。 | 一个回复中包含多个断言。 | 身份提供商发送分组断言;联邦聚合器。 |
| 检测到潜在的 XSW 漏洞:检测到多个加密断言 - Wdesk 只允许一个。 | 多个加密断言。 | 同一类原因,等同于多个断言。 |
*“XSW”指的是服务出于安全考虑而阻止的可疑响应包装模式。
Workiva配置和URL
| 信息 | 它的含义 | 常见原因 |
| 找不到 ID 为 {id} 的 SAML 配置 / 找不到 ID 为 {id} 的 SAML 配置 | 该标识符不存在 SAML 记录。 | URL 中的 {id} 错误;配置已被删除;链接或集成中存在拼写错误。 |
| SAML 配置 {name} 当前未启用,无法用于身份验证。 | SAML 功能存在,但已在该组织中禁用。 | 管理员已禁用 SAML;变更冻结;正在测试其他身份提供商。 |
| SAML 配置 {name} 未进行最小配置,无法用于身份验证。 | 必填字段(例如 IdP URL、绑定或证书)不完整。 | 设置未完成;元数据导入不完整;草稿配置。 |
| 无法找到与此 SAML 配置 {id} 关联的组织 | SAML 配置与组织之间的内部链接缺失。 | 数据不一致;通常需要技术支持进行调查。 |
| 与提供的 ID 匹配的 SAML 配置没有注销响应 URL。 | 注销 URL 未在应用程序预期的位置设置。 | SAML 配置中未配置注销功能;缺少单点注销 URL 元数据。 |
主题/名称ID和属性
| 信息 | 它的含义 | 常见原因 |
| 无法在属性名称={name}元素中找到SAML主题... | Workiva 配置为从特定属性读取 SAML ID,但缺少该属性或语句。 | 属性未发送;属性名称错误;断言中存在属性,但命名空间/格式错误。 |
登出
| 信息 | 它的含义 | 常见原因 |
| 缺少 SAMLRequest 参数 | 身份提供商或浏览器在没有 SAML 注销请求的情况下访问了注销端点。 | 身份提供商注销 URL 配置错误;手动访问 URL;深度链接失效。 |
| 找不到与提供的 ID 匹配的 SAML 配置 | 注销时引用了未知的 SAML 配置。 | 路径或参数中存在错误的 samlConfig。
|
完成 SAML 用户设置(首次身份提供商登录后)
| 信息 | 它的含义 | 常见原因 |
| SAML 用户初始化失败 - 安全令牌验证错误 | 一次性设置令牌缺失、错误或已过期。 | 已收藏旧链接;加载时间过长;cookie 被阻止;已在其他浏览器中打开链接。 |
| SAML 初始化处理程序中发生错误……(通用) | 安装因意外原因失败。 | 重试;如果问题依旧,请记录时间和网址以便技术支持。 |
| (各种验证信息) | 当创建 SAML 用户记录失败时显示(具体文本取决于验证结果)。 | 例如:组织中其他用户已使用 SAML ID。 |
管理员:SAML 元数据导入(API/管理流程)
| 信息 | 它的含义 | 常见原因 |
| 无法解析元数据 XML | 文件不是有效的 XML 文件。 | 下载的文件错误;HTML错误页面已保存为.xml文件。 |
| 无法在元数据 XML 中找到 IDPSSODescriptor | 非身份提供商元数据(或错误的配置文件)。 | SP元数据上传错误;文件已修剪。 |
| 找不到签名 X.509 证书 | 元数据中缺少预期的签名证书。 | 没有元数据<KeyDescriptor use="signing">仅加密元数据。 |
| 无法在元数据 XML 中找到 SingleSignOnService。 | 未声明单点登录端点。 | 从身份提供商处导出的数据不完整。 |
| 未找到受支持的 SingleSignOnService 绑定 | SSO URL 存在,但 Workiva 不支持导入绑定。 | 仅限特殊绑定;旧版身份提供商模板。 |
| 警告:您的元数据文件包含 {n} 个签名证书…… | 检测到多个签名证书;您可能需要手动选择正确的证书。 | 具有多个有效证书的身份提供商轮换期。 |
管理员:批量导入 SAML ID 文件
| 信息 | 它的含义 | 常见原因 |
| 由于缺少 SAML ID 和/或 Wdesk 用户名,因此跳过第 {n} 行。 | 该行中的单元格为空。 | 在 Excel 中编辑 CSV 文件;末尾有空行。 |
| 由于 CSV 文件中存在重复的用户名,因此跳过第 {n} 行。 | 同一个 Workiva 用户名出现了两次。 | 电子表格复制/粘贴错误。 |
| 找不到用户名 {name} 或该用户名不是此帐户的成员 | 组织中没有与该行匹配的用户。 | 用户名拼写错误;用户属于不同的组织。 |
| 跳过用户 {name},因为该用户的主要组织不匹配。 | 用户所属组织不属于此领域。 | 导入时选择了错误的域;承包商帐户。 |
安全和账户控制
| 信息 | 它的含义 | 常见原因 |
| 由于账户安全验证规则,SAML 请求被阻止 | 注销或 SAML 请求未能通过该组织/配置的内部安全检查。 | 策略引擎阻塞;可疑模式;技术支持可能需要内部日志。 |
技术诊断(支持型)
| 信息 | 它的含义 | 常见原因 |
| SAML响应:后跟编码数据 | 当 SAML 身份验证失败时,系统会记录原始 SAML 响应,以便与技术支持人员进行故障排除。 | 某些故障会自动捕获;它本身并不是一个“错误语句”。 |