Multi-SSO(SAML 2.0) 오류 및 수정
Multi-SSO(SAML 2.0) 설정 및 구성에 대한 일반적인 오류 및 관련 수정 사항 목록입니다.
| 인스턴스 로그 오류 | 연결 테스트 메시지 | SAML 속성 | 진단 | 수정 |
|---|---|---|---|---|
| NotAfter: <Thu Jun 05 22:57:44 PDT 2014>. | IDP x509 인증서가 있고 유효하며 활성 상태인지 확인합니다. | 해당 사항 없음 | 현재 인증서 또는 SAML 어설션이 만료되었습니다. |
|
|
IDP x509 인증서가 있고 유효하며 활성 상태인지 확인하십시오. | PEM 형식 문자열을 PEM 인증서 필드에 입력해야 합니다. | SAML 인증서가 없습니다. 비활성화 상태일 수 있습니다. | 올바른 PEM 형식의 인증서가 인스턴스에 업로드되었는지 확인합니다. |
| 인증서가 일치하지 않습니다. 예상 값: <certStr>, 실제 값: <inboundCert>. | IDP x509 인증서가 있고 유효하며 활성 상태인지 확인합니다. | 해당 사항 없음 | SNC에서 사용 가능한 인증서가 어설션의 인증서와 일치하지 않습니다. 원인은 다음과 같습니다.
|
SAML 2.0 인증서 레코드의 PEM 형식 문자열이 사용자 IdP에 대한 SAMLResponse의 X509 인증서와 일치하는지 확인합니다. |
| 인증서의 유효성을 확인하지 못했습니다. | IDP x509 인증서가 있고 유효하며 활성 상태인지 확인하십시오. | 해당 사항 없음 | 현재 인증서가 만료되었을 수 있습니다. | SAML 2.0 인증서 레코드를 업데이트합니다. |
| 서명 프로파일을 확인하지 못했습니다. | IDP x509 인증서가 있고 유효하며 활성 상태인지 확인합니다. | 해당 사항 없음 | 어설션이 다른 인증서로 서명되었을 수 있습니다. | IdP의 인증서가 SNC 인스턴스와 동일한지 확인합니다. |
| SubjectConfirmationData의 InResponseTo 특성이 일치하지 않습니다. 예상: <inResponseTo>, 실제: <inResponseTo>. | 제목 확인 유효성 확인에 실패했습니다. | 해당 사항 없음 | 이 오류는 다음 상황 중 하나가 발생할 경우에 나타납니다.
|
IdP 관리자는 예상된 SAMLReponse가 반환되고 있는지 확인해야 합니다. 이 상황은 부하 분산 장치 또는 인프라 문제일 수 있습니다. |
| SessionIndex 값을 찾을 수 없음: <message>... | SessionIndex가 잘못되었습니다. | 해당 사항 없음 | SNC 인스턴스에는 SessionIndex가 필요합니다. IdP는 SAML 응답에서 이를 반환하여 성공적으로 인증합니다. | IdP 관리자는 SessionIndex가 SAMLResponse에 정의되어 있는지 확인해야 합니다. |
| 올바른 SubjectConfirmation이 없습니다. | 제목 확인 유효성 확인에 실패했습니다. | 해당 사항 없음 | IdP 오류로 인해 조건이 누락되었을 수 있습니다. 응답의 StatusCode에는 예상되는 성공 대신 응답자가 포함됩니다. |
SAMLResponse를 검토하여 조건이 SAMLResponse에 포함되어 있는지 확인합니다. 올바른 대상에 대해 유효한 주체 확인 데이터가 만료되었거나 만료되지 않을 수 있습니다. |
어설션 대상이 일치하지 않습니다. 예상: <propAudience>, 실제: <audienceUri>. 또는 AudienceRestriction 확인에 실패했습니다. 일치하는 대상을 찾을 수 없습니다. |
"대상 URI" 필드가 올바로 설정되어 있는지 확인 | SAML2 토큰을 수락하는 대상 그룹 URI입니다. 대개 자신의 인스턴스 URI입니다. 예: https://demo.service-now.com.) | SNC 인스턴스에서 구성한 대상 URI는 IdP의 값과 일치해야 합니다. | 로그의 SAMLResponse에서 <saml2:Audience>를 찾아 값이 인스턴스의 값과 일치하는지 확인합니다. |
| 어설션 발급자가 잘못되었습니다. 예상: <인스턴스의 값>, 실제: <IdP에서 반환된 값> | 어설션 발급자가 잘못되었습니다. | 사용자 정보를 포함하는 SAML2 보안 토큰을 발급하는 ID 제공자 URL입니다. | IdP 엔터티 ID(발급자)가 SNC 인스턴스에 정의된 값과 일치하지 않습니다. |
|
제목은 나중에 유효합니다. 현재: <now>, NotBefore: <notBefore> 또는 제목이 만료되었습니다. 현재: <now>, NotOnOrAfter: <notOnOrAfter> |
제목 확인 실패 | notBefore 제약 조건 전이나 notOnOrAfter 제약 조건 후에 유효한 것으로 간주되는 시간(초)입니다. | IdP 클럭이 SP 클럭과 동기화되지 않습니다. | SAML 속성 glide.authenticate.sso.saml2.clockskew를 더 큰 값으로 업데이트합니다. 기본값은 180초입니다. 경우에 따라 300 이상의 설정이 필요합니다. IdP 서버에서 시간을 확인해야 할 수도 있습니다. |
어설션이 미래에 유효함: <now>, notBefore: <notBefore> 또는 어설션이 만료됨: <now>, notOnOrAfter: <notOnOrAfter> |
어설션이 잘못되었습니다. | notBefore 제약 조건 전이나 notOnOrAfter 제약 조건 후에 유효한 것으로 간주되는 시간(초)입니다. | IdP 클럭이 SP 클럭과 동기화되지 않았습니다. | SAML 속성을 더 큰 값으로 업데이트합니다. 기본값은 60초입니다. 경우에 따라 300 이상의 설정이 필요합니다. IdP 서버에서 시간을 확인해야 할 수도 있습니다. |
| 오류 또는 증상 | 진단 | 수정 |
|---|---|---|
| 로그인 요청은 높은 보안이 활성 상태일 때 시스템과 IdP 사이에 무한 루프를 생성합니다. |
|
실패한 인증 요청을 이 URL로 리디렉션하기 위한 시스템 속성 glide.authenticate.failed_redirect 설정(또는 생성)합니다. |
| 사용자 또는 요청을 인증하는 데 사용되는 토큰이 예상 서명 알고리즘 http://www.w3.org/2000/09/xmldsig#rsa-sha1 아닌 서명 알고리즘 http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 으로 서명됩니다. | 이벤트 세부 정보는 경보 컨텍스트 탭을 확인하십시오. | 신뢰 당사자 트러스트 구성 대화 상자의 고급 탭으로 이동하여 알고리즘이 SHA-256이 아닌 SHA-1로 설정되어 있는지 확인합니다. |
오류 메시지 urn:oasis:names:tc:SAML:2.0:status:Requester 가 시스템 로그(syslog) 테이블에 나타납니다. |
IdP(예: ADFS)가 oasis:names:tc:SAML:2.0:status:Requester 상태로 응답하면 전송된 요청에 문제가 있어 IdP가 로그인을 거부했음을 의미합니다. 안타깝게도 대부분의 경우 IdP에서 받은 SAML 응답은 오류에 대한 추가 세부 정보를 제공하지 않습니다. |
IDP로 전송된 SAML 요청을 검토하고 IDP 관리자와 협력하여 인스턴스 SAML 설정을 업데이트하여 오류를 방지합니다. IDP 공급자에게 문의하여 로그인 실패 이유를 파악해야 할 수도 있습니다. |