Multi-SSO (SAML 2.0) – Fehler und Korrekturen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Eine Liste der häufigsten Fehler und zugehörigen Korrekturen für das Setup und die Konfiguration von Multi-SSO (SAML 2.0).

    Tabelle : 1. Fehler beim Setup von Multi-SSO (SAML 2.0).
    Fehler in Instanzprotokollen Testverbindungsnachricht SAML-Eigenschaft Diagnose Beheben
    NotAfter:<Thu Jun 05 22:57:44 PDT 2014> . Stellen Sie sicher, dass das x509-Zertifikat des IdP vorhanden, gültig und aktiv ist. N/V Das aktuelle Zertifikat oder die SAML-Assertion ist abgelaufen.
    • Synchronisieren Sie die SNC-Uhr mit der SAML-IdP-Serveruhr.
    • Aktualisieren Sie den SAML 2.0-Zertifikatdatensatz.
    • SAML 2.0-Zertifikat wurde nicht gefunden.
    • In der ServiceNow-Instanz gespeicherte digitale Signatur wurde nicht gefunden.
    		 Stellen Sie sicher, dass das x509-Zertifikat des IdP vorhanden, gültig und aktiv ist Die PEM-formatierte Zeichenfolge muss in das Feld PEM-Zertifikat eingegeben werden. Das SAML-Zertifikat ist nicht vorhanden. Er ist möglicherweise inaktiv. Stellen Sie sicher, dass das richtige PEM-formatierte Zertifikat in die Instanz hochgeladen wird.
    Zertifikate stimmen nicht überein. Erwartet:<certStr> , Istwert:<inboundCert> . Stellen Sie sicher, dass das x509-Zertifikat des IdP vorhanden, gültig und aktiv ist. N/V Das in SNC verfügbare Zertifikat stimmt nicht mit dem Zertifikat in der Assertion überein. Zu den Ursachen gehören:
    • Das Zertifikat wird auf dem IdP aktualisiert, aber nicht in der ServiceNow-Instanz.
    • Das Zertifikat weist das falsche Format auf.
    		 Bestätigen Sie, dass die PEM-formatierte Zeichenfolge im Datensatz des SAML 2.0-Zertifikats mit dem X509-Zertifikat in der SAMLResponse für den Benutzer-IdP übereinstimmt.
    Fehler beim Überprüfen der Gültigkeit des Zertifikats. Stellen Sie sicher, dass das x509-Zertifikat des IdP vorhanden, gültig und aktiv ist N/V Das aktuelle Zertifikat ist möglicherweise abgelaufen. Aktualisieren Sie den SAML 2.0-Zertifikatdatensatz.
    Fehler beim Validieren des Signaturprofils. Stellen Sie sicher, dass das x509-Zertifikat des IdP vorhanden, gültig und aktiv ist. N/V Die Assertion ist möglicherweise mit einem anderen Zertifikat signiert. Überprüfen Sie, ob der IdP dasselbe Zertifikat wie die SNC-Instanz hat.
    Attribut „InResponseTo“ in „SubjectConfirmationData“ stimmt nicht überein. Erwartet:<inResponseTo> , Istwert: . Die Validierung der Antragstellerbestätigung ist fehlgeschlagen. N/V Dieser Fehler wird angezeigt, wenn eine der folgenden Situationen auftritt:
    • Der IdP gibt eine SAMLResponse für eine andere SAMLRequest zurück
    • Ein Benutzer setzt ein Lesezeichen für die URL mit der SAML-Anforderung anstatt nur für die Instanz-URL
    • Wenn ein Nullwert erwartet wird, wird die Antwort möglicherweise an einen anderen Knoten gesendet, wenn die Instanz über mehrere Knoten verfügt.
    		 Der IdP-Administrator sollte bestätigen, dass die erwartete SAML-Antwort zurückgegeben wird. Diese Situation kann ein Problem mit dem Lastenausgleichsmodul oder der Infrastruktur sein.
    SessionIndex-Wert nicht gefunden:<message> ... SessionIndex ungültig. N/V Der SessionIndex ist in der SNC-Instanz erforderlich. Der IdP gibt ihn in der SAML-Antwort zurück, um eine erfolgreiche Authentifizierung zu bestätigen.

    Der IdP-Administrator sollte bestätigen, dass der SessionIndex in der SAMLResponse definiert ist.
    Es konnte kein gültiges SubjectConfirmation-Element gefunden werden. Die Validierung der Antragstellerbestätigung ist fehlgeschlagen. N/V Bedingungen könnten aufgrund eines Fehlers beim IdP fehlen.

    Der StatusCode in der Antwort würde Responder anstelle des erwarteten Erfolgs enthalten.

    Überprüfen Sie SAMLResponse, um festzustellen, ob Bedingungen in der SAMLResponse enthalten sind.

    Die gültigen Betreffbestätigungsdaten sind möglicherweise abgelaufen oder nicht für die richtige Zielgruppe.

    Nichtübereinstimmung der Assertionszielgruppe. Erwartet:<propAudience> , Istwert:<audienceUri> .

    oder

    AudienceRestriction-Validierung fehlgeschlagen. Keine übereinstimmende Zielgruppe gefunden.

    		 Stellen Sie sicher, dass das Feld „Zielgruppen-URI“ richtig festgelegt ist Der Zielgruppen-URI, der das SAML2-Token akzeptiert. (Normalerweise ist dies Ihr Instanz-URI. Beispiel: https://demo.service-now.com.) Der in der SNC-Instanz konfigurierte Zielgruppen-URI muss mit dem Wert im IdP übereinstimmen. Suchen Sie<saml2:Audience> in der SAMLResponse in den Protokollen und stellen Sie sicher, dass der Wert mit dem in der Instanz übereinstimmt.
    Der Aussteller der Assertion ist ungültig. Erwartet:<value on instance> , Istwert:<value returned by IdP> Der Aussteller der Assertion ist ungültig. Die Identitätsanbieter-URL, die das SAML2-Sicherheitstoken mit Benutzerinformationen ausgibt. Die IdP-Entitäts-ID (Aussteller) stimmt nicht mit dem in der SNC-Instanz definierten Wert überein.
    • Überprüfen Sie, ob IdP oder SP nicht ordnungsgemäß konfiguriert ist.
    • Vergewissern Sie sich, dass die SAML-Eigenschaft (die Identitätsanbieter-URL, die das SAML2-Sicherheitstoken mit Benutzerinformationen ausgibt) richtig festgelegt ist.

    Betreff liegt gültig in der Zukunft. Jetzt:<now> , NotBefore:<notBefore>

    oder

    Betreff ist abgelaufen. Jetzt:<now> , NotOnOrAfter:<notOnOrAfter>

    		 Die Bestätigung des Antragstellers ist fehlgeschlagen. Die Anzahl in Sekunden vor der NotBefore-Einschränkung oder nach der NotOnOrAfter-Einschränkung, die als noch gültig betrachtet werden soll. Die IdP-Uhr ist nicht mit der SP-Uhr synchronisiert. Aktualisieren Sie die SAML-Eigenschaft glide.authenticate.sso.saml2.timer auf einen größeren Wert. Der Standardwert beträgt 180 Sekunden. Einige Fälle erfordern eine Einstellung von 300 oder höher. Möglicherweise müssen Sie auch die Zeit auf Ihrem IdP-Server überprüfen.

    Assertion ist in der Zukunft gültig, jetzt:<now> , notBefore:<notBefore>

    oder

    Assertion ist abgelaufen, jetzt:<now> , notOnOrAfter:<notOnOrAfter>

    		 Assertion ist ungültig. Die Anzahl in Sekunden vor der NotBefore-Einschränkung oder nach der NotOnOrAfter-Einschränkung, die als noch gültig betrachtet werden soll. IdP-Uhr ist nicht mit SP-Uhr synchronisiert

    Aktualisieren Sie die SAML-Eigenschaft auf einen größeren Wert. Standard: 60 Sekunden. Einige Fälle erfordern eine Einstellung von 300 oder höher. Möglicherweise müssen Sie auch die Zeit auf Ihrem IdP-Server überprüfen.
    Tabelle : 2. Allgemeine Anmeldungs- und IdP-Fehler
    Fehler oder Symptom Diagnose Beheben
    Anmeldeanforderungen erzeugen eine Endlosschleife zwischen dem System und dem IdP, wenn hohe Sicherheit aktiv ist.
    • Normalerweise ist der URL-Endpunkt eine Fehlerseite oder Abmeldeseite.
    • „logout_redirect.do“ kann diese Schleife erstellen, wenn Sie glide.security.url.whitelist definieren, ohne den IdP-Hostnamen zum Eigenschaftswert hinzuzufügen.
      Hinweis:
      Weitere Informationen zu dieser Eigenschaft finden Sie unter URL-Allow-Liste für Abmeldeumleitungen in Härtungseinstellungen für Instanzsicherheit.
    		 Legen Sie die Systemeigenschaft glide.authenticate.failed_redirect fest (oder erstellen Sie sie), um fehlgeschlagene Authentifizierungsanforderungen an diese URL umzuleiten.
    Das zur Authentifizierung des Benutzers oder der Anforderung verwendete Token ist mit dem Signaturalgorithmus http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 signiert. Dies ist nicht der erwartete Signaturalgorithmus http://www. w3.org/2000/09/xmldsig#rsa-sha1. Überprüfen Sie die Registerkarte Warnungskontext auf Event-Details. Navigieren Sie zur Registerkarte „Erweitert“ des Konfigurationsdialogfelds „Relying Party Trust“, und stellen Sie sicher, dass der Algorithmus auf SHA-1 und nicht SHA-256 festgelegt ist.
    Die Fehlermeldung urn:oasis:names:tc:SAML:2.0:status:Requester wird in der Systemprotokolltabelle (syslog) angezeigt. Wenn Ihr IdP (z. B. ADFS) mit dem Status oasis:names:tc:SAML:2.0:status:Requesterantwortet, bedeutet dies, dass der IdP die Anmeldung aufgrund eines Problems mit der an ihn gesendeten Anforderung abgelehnt hat. Leider enthält die vom IdP erhaltene SAML-Antwort in den meisten Fällen keine weiteren Details für den Fehler. Überprüfen Sie die an den IdP gesendete SAML-Anforderung, und arbeiten Sie mit Ihrem IdP-Administrator zusammen, um die SAML-Einstellungen Ihrer Instanz zu aktualisieren, um den Fehler zu vermeiden. Möglicherweise müssen Sie sich an Ihren IDP-Provider wenden, um den Grund für den Anmeldefehler zu erfahren.