Fehler und Korrekturen für Multi-SSO (SAML 2.0).

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Eine Liste häufiger Fehler und zugehöriger Korrekturen für das Setup und die Konfiguration von Multi-SSO (SAML 2.0).

    Tabelle : 1. Fehler beim Setup von Multi-SSO (SAML 2.0).
    Fehler in Instanzprotokollen Testverbindungsnachricht SAML-Eigenschaft Diagnose Beheben
    NotAfter:<Thu Jun 05 22:57:44 PDT 2014> . Stellen Sie sicher, dass das x509-IDP-Zertifikat vorhanden, gültig und aktiv ist. N/V Das aktuelle Zertifikat oder die SAML-Assertion ist abgelaufen.
    • Synchronisieren Sie die SNC-Uhr mit der Uhr des SAML-IdP-Servers.
    • Aktualisiert den SAML 2.0-Zertifikatdatensatz.
    • SAML 2.0-Zertifikat wurde nicht gefunden.
    • In der ServiceNow-Instanz wurde keine digitale Signatur gefunden.
    		 Stellen Sie sicher, dass das x509-IDP-Zertifikat vorhanden, gültig und aktiv ist Die PEM-formatierte Zeichenfolge muss in das Feld PEM-Zertifikat eingegeben werden. Das SAML-Zertifikat ist nicht vorhanden. Möglicherweise ist sie inaktiv. Stellen Sie sicher, dass das richtige Zertifikat im PEM-Format in die Instanz hochgeladen wird.
    Zertifikate stimmen nicht überein. Erwartet:<certStr> , Istwert:<inboundCert> . Stellen Sie sicher, dass das x509-IDP-Zertifikat vorhanden, gültig und aktiv ist. N/V Das verfügbare Zertifikat in SNC stimmt nicht mit dem Zertifikat in der Assertion überein. Ursachen:
    • Das Zertifikat wird auf dem IdP aktualisiert, aber nicht in der ServiceNow-Instanz.
    • Das Zertifikat hat das falsche Format.
    		 Bestätigen Sie, dass die PEM-formatierte Zeichenfolge im SAML 2.0-Zertifikatdatensatz mit dem X509-Zertifikat in der SAML-Antwort für den Anwender-IdP übereinstimmt.
    Fehler beim Überprüfen der Gültigkeit des Zertifikats. Stellen Sie sicher, dass das x509-IDP-Zertifikat vorhanden, gültig und aktiv ist N/V Das aktuelle Zertifikat ist möglicherweise abgelaufen. Aktualisiert den SAML 2.0-Zertifikatdatensatz.
    Signaturprofil konnte nicht validiert werden. Stellen Sie sicher, dass das x509-IDP-Zertifikat vorhanden, gültig und aktiv ist. N/V Die Assertion wurde möglicherweise mit einem anderen Zertifikat signiert. Überprüfen Sie, ob der IdP über dasselbe Zertifikat verfügt wie die SNC-Instanz.
    InResponseTo-Attribut in SubjectConfirmationData stimmt nicht überein. Erwartet:<inResponseTo> , Istwert: . Die Validierung des Antragstellers ist fehlgeschlagen. N/V Dieser Fehler wird angezeigt, wenn eine der folgenden Situationen auftritt:
    • Der IdP gibt eine SAML-Antwort für eine andere SAML-Anforderung zurück
    • Ein Anwender setzt ein Lesezeichen für die URL mit der SAMLRequest anstatt nur für die Instanz-URL
    • Wenn ein Nullwert erwartet wird, wird die Antwort möglicherweise an einen anderen Knoten gesendet, wenn die Instanz über mehrere Knoten verfügt.
    		 Der IdP-Administrator muss bestätigen, dass die erwartete SAML-Antwort zurückgegeben wird. Diese Situation kann ein Problem mit dem Lastenausgleichsmodul oder der Infrastruktur sein.
    SessionIndex-Wert nicht gefunden:<message> ... SessionIndex ungültig. N/V Der SessionIndex ist in der SNC-Instanz erforderlich. Der IdP gibt ihn in der SAML-Antwort zurück, um eine erfolgreiche Authentifizierung zu gewährleisten.

    Der IdP-Administrator muss bestätigen, dass der SessionIndex in der SAML-Antwort definiert ist.
    Es konnte kein gültiges SubjectConfirmation-Element gefunden werden. Die Validierung des Antragstellers ist fehlgeschlagen. N/V Bedingungen könnten aufgrund eines Fehlers beim IdP fehlen.

    Der StatusCode in der Antwort würde Beantworter anstelle des erwarteten Erfolgs enthalten.

    Überprüfen Sie die SAML-Antwort, um zu bestimmen, ob Bedingungen in der SAML-Antwort enthalten sind.

    Die gültigen Betreffbestätigungsdaten können für die richtige Zielgruppe abgelaufen sein oder nicht.

    Assertionszielgruppe stimmt nicht überein. Erwartet:<propAudience> , Istwert:<audienceUri> .

    oder

    Die Validierung des Elements "AudienceRestriction" ist fehlgeschlagen. Keine übereinstimmende Zielgruppe gefunden.

    		 Stellen Sie sicher, dass das Feld „Audience URI“ richtig eingestellt ist Der Zielgruppen-URI, der das SAML2-Token akzeptiert. (Normalerweise ist dies der Instanz-URI. Beispiel: https://demo.service-now.com.) Der in der SNC-Instanz konfigurierte Zielgruppen-URI muss mit dem Wert im IdP übereinstimmen. Suchen<saml2:Audience> in der SAML-Antwort in den Protokollen, und vergewissern Sie sich, dass der Wert mit dem in der Instanz übereinstimmt.
    Der Aussteller der Assertion ist ungültig. Erwartet:<value on instance> , Istwert:<value returned by IdP> Der Aussteller der Assertion ist ungültig. Die Identitätsanbieter-URL, die das SAML2-Sicherheitstoken mit Anwenderinformationen ausstellt. Die ID der IdP-Entität (Aussteller) stimmt nicht mit dem in der SNC-Instanz definierten Wert überein.
    • Überprüfen Sie, ob IdP oder SP nicht ordnungsgemäß konfiguriert ist.
    • Stellen Sie sicher, dass die SAML-Eigenschaft (die Identitätsanbieter-URL, die das SAML2-Sicherheitstoken mit Anwenderinformationen ausstellt) richtig eingestellt ist.

    Betreff ist in der Zukunft gültig. Jetzt:<now> , NotBefore:<notBefore>

    oder

    Betreff ist abgelaufen. Jetzt:<now> , NotOnOrAfter:<notOnOrAfter>

    		 Die Bestätigung der Antragstellervalidierung ist fehlgeschlagen. Die Zeit in Sekunden vor der Beschränkung „notBefore“ oder nach der Beschränkung „notOnOrAfter“, die als noch gültig gilt. Die IdP-Uhr wird nicht mit der SP-Uhr synchronisiert. Aktualisieren Sie die SAML-Eigenschaft „glide.authenticate.sso.saml2.Clockskew“ auf einen größeren Wert. Der Standardwert ist 180 Sekunden. Einige Fälle erfordern eine Einstellung von 300 oder höher. Unter Umständen müssen Sie auch die Uhrzeit auf Ihrem IdP-Server überprüfen.

    Assertion ist erst in der Zukunft gültig:<now> , notBefore:<notBefore>

    oder

    Assertion ist abgelaufen, jetzt:<now> , notOnOrAfter:<notOnOrAfter>

    		 Assertion ist ungültig. Die Zeit in Sekunden vor der Beschränkung „notBefore“ oder nach der Beschränkung „notOnOrAfter“, die als noch gültig gilt. Die IdP-Uhr wird nicht mit der SP-Uhr synchronisiert

    Aktualisieren Sie die SAML-Eigenschaft auf einen größeren Wert. Standard: 60 Sekunden. Einige Fälle erfordern eine Einstellung von 300 oder höher. Unter Umständen müssen Sie auch die Uhrzeit auf Ihrem IdP-Server überprüfen.
    Tabelle : 2. Häufige Anmelde- und IdP-Fehler
    Fehler oder Symptom Diagnose Beheben
    Anmeldeanforderungen erzeugen eine Endlosschleife zwischen dem System und dem IdP, wenn „Hochsicherheit“ aktiviert ist.
    • Normalerweise ist der URL-Endpunkt eine Fehlerseite oder Abmeldeseite.
    • Mit „logout_redirect.do“ kann diese Schleife erstellt werden, wenn Sie glide.security.url.whitelist definieren, ohne den IdP-Hostnamen zum Eigenschaftswert hinzuzufügen.
      Hinweis:
      Weitere Informationen zu dieser Eigenschaft finden Sie unter URL-Allow-Liste für Abmeldeumleitungen in Härtungseinstellungen für Instanzsicherheit.
    		 Legen Sie die Systemeigenschaft „glide.authenticate.failed_redirect“ fest (oder erstellen Sie sie), um fehlgeschlagene Authentifizierungsanforderungen an diese URL umzuleiten.
    Das zur Authentifizierung des Anwenders oder der Anforderung verwendete Token ist mit dem Signaturalgorithmus http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 signiert, was nicht der erwartete Signaturalgorithmus http://www ist. w3.org/2000/09/xmldsig#rsa-sha1 Ereignisdetails finden Sie auf der Registerkarte Warnungskontext. Navigieren Sie zur Registerkarte Erweitert des Konfigurationsdialogfelds „Relying Partei Trust“, und vergewissern Sie sich, dass der Algorithmus auf SHA-1 und nicht auf SHA-256 festgelegt ist.
    In der Systemprotokolltabelle (syslog) wird die Fehlermeldung urn:oasis:names:tc:SAML:2.0:status:Requester angezeigt. Wenn Ihr IdP (z. B. ADFS) mit dem Status oasis:names:tc:SAML:2.0:status:Requesterantwortet, hat er die Anmeldung aufgrund eines Problems mit der an ihn gesendeten Anforderung abgelehnt. Leider enthält die vom IdP erhaltene SAML-Antwort in den meisten Fällen keine weiteren Details für den Fehler. Überprüfen Sie die an den IdP gesendete SAML-Anforderung, und arbeiten Sie mit Ihrem IdP-Administrator zusammen, um die SAML-Einstellungen Ihrer Instanz zu aktualisieren und so den Fehler zu vermeiden. Unter Umständen müssen Sie sich an Ihren IDP-Provider wenden, um den Grund für den Anmeldefehler zu erfahren.