Penting untuk dicatat bahwa pemecahan masalah SAML Linux dimulai dengan mengidentifikasi sumber masalah. Masalah umum termasuk kegagalan login, masalah konfigurasi, masalah konektivitas, masalah autentikasi dan otorisasi.
Artikel ini membahas beberapa masalah utama SAML. Selain menyoroti kesalahan, artikel tersebut juga akan mengklarifikasi penyebab masalah, serta cara untuk menghilangkannya.”
Error SAML umum
Kesalahan konfigurasi SAML
Pemecahan masalah konfigurasi SAML dimulai dengan memahami modul konfigurasi Anda. Dan hal-hal yang perlu Anda ketahui antara lain:
- IdP dan SP Anda Jika Anda menggunakan Auth0, cari tahu apakah itu berfungsi sebagai Penyedia Layanan (SP) atau Penyedia Identitas (IdP) Anda. Tentu saja, itu juga bisa menjadi IdP dan SP Anda sekaligus. SP adalah program atau program yang ingin diakses pengguna. Ini mengarahkan setiap pengguna untuk otentikasi. Di sisi lain, IdP memvalidasi kredensial dan mengirimkan laporan autentikasi atau penolakan ke SP.
- Jenis mode otentikasi– Dua jenis mode alur autentikasi yang digunakan dalam SAML adalah mode yang dimulai IdP atau yang dimulai SP. Sistem Anda mungkin menggunakan salah satu atau keduanya. Khususnya, pengguna akan selalu berusaha menavigasi ke SP sebelum diarahkan ke IdP yang mengautentikasi akses. Jenis aliran ini adalah aliran yang diprakarsai SP. Dalam alur autentikasi yang dimulai oleh IdP, pengguna akan membuka IdP dan masuk sebelum dialihkan ke program atau aplikasi SP.
- Jenis atribut profil pengguna di IdP– Atribut profil pengguna yang digunakan IdP saat mengautentikasi pengguna dan atribut antar aplikasi merupakan pertimbangan penting lainnya. Pastikan Anda menyiapkan pemetaan yang benar. Khususnya, di organisasi perusahaan, Anda dapat memilih alamat email atau ID internal.
- Jenis konfirmasi autentikasi– Penting untuk memeriksa apakah klaim autentikasi Anda dienkripsi.
- Pertimbangan lain:– Aspek lain yang sebaiknya Anda lihat saat memecahkan masalah SAML mencakup jumlah pengguna yang terpengaruh, jumlah aplikasi yang tidak tersedia, apakah masalahnya adalah penyiapan baru atau lama yang baru saja berhenti, dan seberapa sering masalah terjadi. proses login.
Kesalahan umum yang mungkin Anda temui saat AuthO adalah Penyedia Layanan (SP) meliputi:
Koneksi dinonaktifkan
Ketika Anda tidak terhubung ke koneksi aktif apa pun, Anda akan menemukan pesan di bawah ini.
Anda perlu mengunjungi dasbor AuthO dan mengaktifkan setidaknya satu aplikasi untuk masalah ini. Patut dicatat bahwa Anda dapat mencapai ini dengan mengklik Authentication🡺 Enterprise🡺Connection Name🡺Applications. Anda akan menemukan daftar untuk dipilih. Jika Anda tidak menemukan daftarnya, buat aplikasi dan lanjutkan.
Atribut InResponseTo Tidak cocok dengan ID AuthNRequest
Kesalahan ini cukup umum dalam situasi di mana atribut InResponseTo tidak cocok dengan ID AuthNRequest. Idealnya, hal ini terjadi saat penyewa AuthO Anda tidak mengenali respons SAML. Alasan utamanya dapat mencakup cookie yang diblokir, penggunaan domain yang tidak konsisten, dan ID yang tidak cocok.
Jika penyewa Anda memiliki domain khusus, kemungkinan besar Anda akan mengalami ketidakcocokan di mana entri tersebut menunjukkan bahwa sistem Anda dimulai dengan domain khusus tetapi diakhiri dengan domain lucu. Misalnya, jika berikut ini adalah domain kustom awal Anda:
Tetapi penyedia identitas Anda memiliki konfigurasi yang mengembalikan respons SAML di bawah ke URL ACS Anda dalam domain lucu:
Mengembalikan ID Anda ke domain lain di atribut respons SAML InRespinseTo Anda mengasumsikan bahwa penyewa Anda tidak memiliki catatan ID tersebut. Menggunakan domain yang sama selama autentikasi Anda memecahkan masalah ini.
Saat login yang dimulai dengan IdP tidak diaktifkan
Saat Anda mengonfigurasi URL ACS di penyedia autentikasi atau IdP yang digunakan di domain penyewa default, dan Anda memulai proses autentikasi dengan memanggil domain kustom menggunakan /otorisasi, masalah ini mungkin terjadi:
Error ini terjadi jika transaksi Anda tidak memiliki parameter RelayState atau jika respons SAML Anda tidak memiliki atribut InResponseTo. Anda selalu dapat memeriksa ulang dan memperbaiki anomali.
Ketika aplikasi default yang dimulai IdP tidak dikonfigurasi
Dalam hal ini, alur yang dimulai IdP Anda terhubung dengan benar, tetapi tidak memiliki informasi konfigurasi penting. Anda akan melihat gambar di bawah ini;
Idealnya, URL ACS Anda harus memiliki nama domain yang sama dengan yang digunakan dalam permintaan awal. Itu juga dapat menggunakan panggilan balik domain khusus jika Anda menggunakan domain khusus. Error juga dapat terjadi jika alur autentikasi Anda tidak memiliki parameter RelayState atau atribut InResponseTo.
Kesalahan konfigurasi SAML
Kesalahan status HTTP 500
Terkadang kesalahan di bawah ini mungkin menyapa Anda selama konfigurasi.
Anda dapat mengatasi error di atas dengan meninjau setelan Anda. Area yang menjadi perhatian mungkin termasuk mengoreksi URL IdP untuk single sign-on yang ditentukan di tab SAML Anda, memvalidasi IdP yang dikonfigurasi untuk HTTP-POST, dan mengoreksi URL IdP untuk profil single sign-on yang ditentukan selama pembuatan login. SP.
Gagal masuk
Login yang gagal akan menghasilkan pesan di bawah ini.
Kesalahan terjadi ketika ada ketidakcocokan pada nama pengguna. Untuk mengatasi masalah ini, coba cocokkan nama.
Login gagal karena pembongkaran SSL
Cari pesan di bawah ini;
Mungkin juga datang bersama pesan di bawah ini dari log portal:
Kombinasi di atas menyiratkan bahwa sistem Anda memiliki konfigurasi proxy eksternal yang salah yang diturunkan ke server.
Kesimpulan
Di atas adalah beberapa masalah penting yang akan Anda temui saat menangani konfigurasi dan autentikasi SAML. Artikel ini menyajikan kemungkinan solusi untuk setiap masalah. Semoga ini membantu.