當登入或設定步驟失敗時,Workiva 可以記錄與 SAML 相關的簡短訊息。使用下表所示的訊息措詞搜尋您組織的 SAML 活動日誌或支援工單。訊息可能包含您的 SAML 設定名稱、使用者名稱或其他值,這些值以佔位符表示,例如 {name}。
然後,在與您的 IT 團隊或 Workiva 支援團隊合作解決錯誤時,請參考該訊息的常見原因。
附註: 如果訊息包含“SAML Consumer”或“SAML Logout”,則該文字來自 SAML 處理步驟-根本問題通常出在 憑證、 回應形狀或 Workiva 設定上。
使用者、帳戶和映射
| 訊息 | 它的意義 | 常見原因 |
| 使用者 {user}(SAML ID {samlId})的 SAML 驗證失敗。使用者遭暫時停權。 | 身份提供者已驗證使用者身份,但 Workiva 帳戶已被暫停。 |
管理員已暫停該使用者;出於合規考慮。
|
| 由於斷言驗證失敗,SAML 驗證失敗({detail})。 | 斷言驗證失敗;詳細資訊可能包含規則名稱(因情況而異)。 | 受眾/接收者不符;條件失敗;自訂驗證器失敗。 |
| 使用者 {user}(SAML ID {samlId})的 SAML 驗證失敗。用戶IP位址不在允許清單中。 | IP位址白名單封鎖了此次登入。 |
VPN已關閉;新的辦公室IP位址;白名單未更新。
|
| 未經身份驗證的使用者 {username} 無法對應到其主帳戶/組織之外的 SAML ID {samlId}。 | 在此上下文中,該使用者存在於其他地方,但無法透過 SAML 與此組織關聯。 |
組織 URL 錯誤;使用者所屬組織不同;嘗試跨組織登入。
(請聯絡客服 尋求協助) |
| 使用者 {displayName} 的 SAML 關聯失敗 | 將 Workiva 使用者與 SAML ID 關聯驗證失敗。 | 重複的 SAML ID;無效字元;映射中的業務規則。 |
| 來自未關聯的 SAML ID {samlId} 的登入嘗試。請考慮為相應的 Wdesk 使用者配置此 SAML ID。 | 組織需要 SSO,但此 NameID 未對應到使用者。 |
新員工未配置;SAML ID 拼字錯誤;此組織的身分提供者目錄錯誤。
(請參閱下方 部分,以了解如何解決此錯誤) |
| 為 SAML ID {samlId} 建立新的 SAML 使用者 - 重定向到登入頁面以完成 SAML 初始化 | 首次使用 SAML 的使用者流程:使用者必須在身分提供者 (IdP) 登入後完成設定。 | 首次使用 SAML 登入且不需要 SSO 時預期會執行此操作;使用者正在完成對應。 |
解決單一登入失敗問題
當使用者無法使用 SSO 登入時,可能是由於使用者對映不正確所造成的。要解決這個問題:
- 嘗試取得 SSO 失敗嘗試的日期和時間。
- 在活動日誌中,捲動表格以尋找在 SSO 嘗試失敗的日期和時間發生的日誌。
- 尋找訊息「來自未關聯的 SAML ID {samlId} 的登入嘗試。請考慮為相應的 Wdesk 使用者配置此 SAML ID。 (「{samlId}」是您使用者特定 SAML ID 的佔位符。)
- 取得 {samlId} 的值,並導航至 SSO 配置的 使用者映射 部分。
- 在表格的 使用者名稱 欄位下尋找您的使用者名稱。
- 在表格中,雙擊使用者旁邊的 SSO ID 字段,然後輸入從活動日誌中獲得的 {samlId} 值。
- 點選 儲存配置。
- 請使用者再次嘗試使用 SSO 登入。
登入和SAML回應處理
| 訊息 | 它的意義 | 常見原因 |
| 反序列化身份驗證請求失敗。 | 瀏覽器或身分提供者所傳送的資料無法被服務讀取為有效的 SAML 請求。 | 請求被截斷或損壞;代理程式剝離 POST 請求體;向登入 URL 發送非常舊的或非 SAML POST 請求。 |
| 收到了無效的 XML 物件。回應資料格式錯誤或不完整。 | SAML回應XML無法解析或被截斷。 | 身分提供者配置錯誤;負載平衡器或代理程式更改回應;網路中斷;測試中貼上/編輯了 XML。 |
| SAML斷言無效。 | 該斷言在使用者映射之前未通過結構或策略檢查。 | 時鐘偏差;受眾錯誤;斷言過期;斷言內容格式錯誤。 |
| (文字內容各不相同-通常包含來自 invalid_response / invalid_destination 的技術細節) | SAML 回應中的某些內容與 Workiva 的預期不符(目標、結構等)。 | ACS URL 不符;實體 ID 錯誤;回應傳送到錯誤的環境;IdP 傳送錯誤狀態,但沒有可用的斷言。 |
| 回應或斷言的簽章無效…Wdesk 中配置的 X.509 憑證與您的身分提供者 (IdP) 的憑證相符。 | 加密簽名驗證失敗。 |
IdP 已輪換簽署證書,但 Workiva 仍使用舊證書;Workiva 中貼上了錯誤的證書;在錯誤的元素上簽署;存在多個證書,但 IdP 沒有使用您期望的證書。
|
| 缺少或為空的 SAML 名稱標識符 | 姓名 ID(或等效主題)缺失或為空。 | 身分提供者未發布名稱 ID;對應發送空值;身分提供者上選擇了錯誤的名稱 ID 格式。 |
| 解密斷言或名稱 ID 失敗。 | 您的服務提供者設定無法解密加密的 SAML 內容。 | 加密證書不符;IdP 使用 Workiva 沒有的證書進行加密;密文已損壞。 |
| 斷言的頒發者與 Wdesk 中配置的頒發者不符。 | SAML 訊息中的頒發者與您的 SAML 設定不符。 |
頒發者 URL 拼字錯誤;使用別名頒發者的身分提供者;測試環境與生產環境的身份提供者。
(請查看此日誌以獲取請求詳細信息,以幫助您修復 SSO 配置) |
| 找不到請求的 SAML 設定。 | 沒有與此請求相符的 SAML 設定(未找到註冊資訊)。 | URL路徑/SAML配置ID錯誤;配置已停用或已刪除;書籤指向舊URL。 |
| SAML 消費者(通用)中發生錯誤… | 登入失敗,但失敗方式與上述特定 SAML 程式碼不符。 | 異常身分提供者行為;暫時性整合錯誤;下一步最好是提交 HAR 或身分提供者登入日誌,並附上此訊息。 |
| Saml 登出時發生錯誤…(通用) | 登出請求失敗,但失敗原因未與特定代碼對應。 | 與消費者端相同:收集身分提供者註銷日誌和關聯時間。 |
證書(簽名/驗證)
| 訊息 | 它的意義 | 常見原因 |
| X509證書格式不正確或已過期。如果設置,將使用備用 X509 憑證。 | Workiva 中的主 IdP 簽章憑證無效或已過期;系統可能會回退到備用憑證。 | 憑證已過期;PEM 格式錯誤;存在多餘空格或缺少標頭。 |
| Alt X509 憑證格式不正確或已過期。 | 備用證書也無效或已過期。 | 兩個證書都需要續期;第二個證書複製/貼上錯誤。 |
| SAML 設定中未設定 X509 憑證。 | 主簽章憑證和備用簽章憑證均未儲存。 | 新配置;憑證已清除;元資料匯入未填入憑證。 |
回應形式、斷言和「包裝式」回應
| 訊息 | 它的意義 | 常見原因 |
| 偵測到潛在 XSW:未找到回應元素 | SAML有效負載中沒有包含任何正常的字串。<Response>如預期般取得了root權限。 | XML格式錯誤;身分提供者打包異常;竄改企圖;中間件損壞。 |
| 偵測到潛在XSW:發現多個反應元素 | 有效負載中包含多個 SAML 回應。 | 罕見的身分提供者錯誤;連線回應;代理人錯誤地合併主體。 |
| 未找到斷言元素…請檢查身分提供者傳回的 SAML 回應,以尋找狀態代碼驗證失敗的情況。 | 沒有使用者登入的請求-通常是身分識別提供者 (IdP) 端拒絕了該請求。 | 密碼錯誤;多因素身分驗證失敗;身分提供者政策拒絕使用者;使用者未在身分提供者端取得許可。 |
| 偵測到潛在的 XSW:偵測到多個斷言和加密斷言元素 | 同時存在明文和加密斷言(不允許)。 | 身分提供者配置異常;自訂設定發送重複內容。 |
| 偵測到潛在的 XSW:偵測到多個斷言 - Wdesk 只允許一個斷言。 | 一個回復中包含多個斷言。 | 身分提供者發送分組斷言;聯邦聚合器。 |
| 偵測到潛在的 XSW 漏洞:偵測到多個加密斷言 - Wdesk 只允許一個。 | 多個加密斷言。 | 同一類原因,等同於多個斷言。 |
*“XSW”指的是服務出於安全考慮而阻止的可疑回應包裝模式。
Workiva配置和URL
| 訊息 | 它的意義 | 常見原因 |
| 找不到 ID 為 {id} 的 SAML 配置 / 找不到 ID 為 {id} 的 SAML 配置 | 該標識符不存在 SAML 記錄。 | URL 中的 {id} 錯誤;設定已刪除;連結或整合中存在拼字錯誤。 |
| SAML 設定 {name} 目前未啟用,無法用於驗證。 | SAML 功能存在,但已在該組織中停用。 | 管理員已停用 SAML;變更凍結;正在測試其他身分提供者。 |
| SAML 配置 {name} 未進行最小配置,無法用於驗證。 | 必填欄位(例如 IdP URL、綁定或憑證)不完整。 | 設定未完成;元資料匯入不完整;草稿配置。 |
| 無法找到與此 SAML 配置 {id} 關聯的組織 | SAML 配置與組織之間的內部連結缺失。 | 數據不一致;通常需要技術支援進行調查。 |
| 與提供的 ID 相符的 SAML 設定沒有登出回應 URL。 | 登出 URL 未在應用程式預期的位置設定。 | SAML 設定中未設定登出功能;缺少單點登出 URL 元資料。 |
主題/名稱ID和屬性
| 訊息 | 它的意義 | 常見原因 |
| 無法在屬性名稱={name}元素中找到SAML主題... | Workiva 設定為從特定屬性讀取 SAML ID,但缺少該屬性或語句。 | 屬性未傳送;屬性名稱錯誤;斷言中存在屬性,但命名空間/格式錯誤。 |
登出
| 訊息 | 它的意義 | 常見原因 |
| 缺少 SAMLRequest 參數 | 身分提供者或瀏覽器在沒有 SAML 登出請求的情況下存取了註銷端點。 | 身分提供者登出 URL 配置錯誤;手動存取 URL;深度連結失效。 |
| 找不到與提供的 ID 相符的 SAML 配置 | 註銷時引用了未知的 SAML 配置。 | 路徑或參數中的 samlConfig錯誤。
|
完成 SAML 使用者設定(首次身分提供者登入後)
| 訊息 | 它的意義 | 常見原因 |
| SAML 使用者初始化失敗 - 安全性令牌驗證錯誤 | 一次性設定令牌缺失、錯誤或已過期。 | 已收藏舊連結;載入時間過長;cookie 被封鎖;已在其他瀏覽器中開啟連結。 |
| SAML 初始化處理程序中發生錯誤…(通用) | 安裝因意外原因失敗。 | 重試;如果問題依舊,請記錄時間和網址以便技術支援。 |
| (各種驗證資訊) | 當建立 SAML 使用者記錄失敗時顯示(具體文字取決於驗證結果)。 | 例如:組織中其他使用者已使用 SAML ID。 |
管理員:SAML 元資料導入(API/管理流程)
| 訊息 | 它的意義 | 常見原因 |
| 無法解析元資料 XML | 文件不是有效的 XML 檔案。 | 下載的檔案錯誤;HTML錯誤頁面已儲存為.xml檔。 |
| 無法在元資料 XML 中找到 IDPSSODescriptor | 不是身分提供者元資料(或錯誤的設定檔)。 | SP元資料上傳錯誤;檔案已修剪。 |
| 找不到簽名 X.509 證書 | 元資料中缺少預期的簽章憑證。 | 沒有元數據<KeyDescriptor use="signing">僅加密元資料。 |
| 無法在元資料 XML 中找到 SingleSignOnService。 | 未聲明單一登入端點。 | 從身分提供者匯出的資料不完整。 |
| 未找到支援的 SingleSignOnService 綁定 | SSO URL 存在,但 Workiva 不支援匯入綁定。 | 僅限特殊綁定;舊版身分提供者範本。 |
| 警告:您的元資料檔案包含 {n} 個簽署憑證… | 偵測到多個簽名證書;您可能需要手動選擇正確的證書。 | 具有多個有效憑證的身分提供者輪替期。 |
管理員:批次匯入 SAML ID 文件
| 訊息 | 它的意義 | 常見原因 |
| 由於缺少 SAML ID 和/或 Wdesk 使用者名,因此跳過第 {n} 行。 | 該行中的儲存格為空。 | 在 Excel 中編輯 CSV 檔案;最後有空行。 |
| 由於 CSV 檔案中存在重複的使用者名,因此跳過第 {n} 行。 | 同一個 Workiva 使用者名稱出現了兩次。 | 電子表格複製/貼上錯誤。 |
| 找不到使用者名稱 {name} 或該使用者名稱不是此帳戶的成員 | 組織中沒有與該行相符的使用者。 | 使用者名稱拼字錯誤;使用者屬於不同的組織。 |
| 跳過使用者 {name},因為該使用者的主要組織不符。 | 使用者所屬組織不屬於此領域。 | 導入時選擇了錯誤的網域;承包商帳戶。 |
安全和帳戶控制
| 訊息 | 它的意義 | 常見原因 |
| 由於帳戶安全驗證規則,SAML 請求被阻止 | 註銷或 SAML 請求未能通過該組織/配置的內部安全性檢查。 | 策略引擎阻塞;可疑模式;技術支援可能需要內部日誌。 |
技術診斷(支持型)
| 訊息 | 它的意義 | 常見原因 |
| SAML回應:後跟編碼數據 | 當 SAML 身份驗證失敗時,系統會記錄原始 SAML 回應,以便與技術支援人員進行故障排除。 | 某些故障會自動捕獲;它本身並不是一個「錯誤語句」。 |