SAML-sisäänkirjautumisvirheet

Olet tässä:

SAML-sisäänkirjautumisvirheet

Jos käyttäjillä on ongelmia kirjautua sisään organisaatioosi kertakirjautumisen (SSO) avulla, käytä sisäänkirjautumishistoriaa määrittääksesi, johtuuko ongelma SAML-vahvistuksen vai kokoonpanon virheestä. Jos kyseessä on vahvistukseen liittyvä virhe, tutki se tarkemmin SAML-vahvistuksen varmistajalla. Tee yhteistyötä henkilöllisyydentarjoajasi kanssa varmistaaksesi, että SAML-vahvistus ja SSO-kokoonpanosi toimivat oikein.

Vaaditut versiot

Käytettävissä: Salesforce Classicissa ja Lightning Experiencessa

Yhdistetty todennus on käytettävissä kaikissa versioissa

Yhdistetty todennus on käytettävissä Professional-, Enterprise-, Performance-, Unlimited-, Developer- ja Database.com-versioissa

Todentajat ovat käytettävissä: Professional Edition-, Enterprise Edition-, Performance Edition-, Unlimited Edition- ja Developer Edition -versioissa

Tarvittavat käyttöoikeudet
Asetusten tarkasteleminen:	Määritysten ja kokoonpanon tarkasteluoikeus
Asetusten muokkaaminen:	Sovelluksen mukautusoikeus JA Kaikkien tietojen muokkausoikeus

Tarvittavat käyttöoikeudet

Asetusten tarkasteleminen:

Määritysten ja kokoonpanon tarkasteluoikeus

Asetusten muokkaaminen:

Sovelluksen mukautusoikeus

Kaikkien tietojen muokkausoikeus

Kirjautumishistoria

Käytä sisäänkirjautumishistoriaa määrittääksesi, liittyykö kirjautumisvirhe SAML-vahvistukseen vai SSO-kokoonpanoosi.

Jos näet jonkin näistä virheistä sisäänkirjautumishistoriassa, käytä SAML-vahvistuksen varmistajaa löytääksesi vahvistuksessa olevan virheen.

Vahvistus vanhentunut: Vahvistuksen aikaleima on liian vanha.
Vahvistus virheellinen: Vahvistuksessa on jotain vialla, esimerkiksi puuttuva <Subject>-elementti.
Kohdeyleisö virheellinen: <Audience>-kentässä määritetty arvo ei vastaa SSO-kertakirjautumisen määrittämisen aikana määrittämääsi entiteetin tunnusta.

Jos näet jonkin näistä virheistä sisäänkirjautumishistoriassa, tarkasta SSO-kertakirjautumisen asetuksesi määritysongelman varalta. Kirjoita Määritykset-valikon Pikahaku-kenttään Kertakirjautumisasetukset ja valitse sitten Kertakirjautumisasetukset. Pyydä henkilöllisyydentarjoajaltasi SAML-esimerkkivahvistus ja varmista, että kokoonpanosi sisältää oikeat tiedot. Jos kokoonpanosi on oikein, suorita esimerkkivahvistus SAML-vahvistuksen varmistajan kautta.

Kokoonpanovirhe / Käyttöoikeus poistettu käytöstä: SAML-kokoonpanossasi on jotain vialla Salesforcessa. Esimerkiksi palvelimelle lataamasi sertifikaatti voi olla korruptoitunut tai poistit SAML:n käytöstä organisaatiosi Kertakirjautumisasetukset-sivulta.
Lähettäjä ei täsmää: Tarkasta, että kokoonpanossasi määritetty myöntäjä vastaa vahvistuksessa olevaa myöntäjää.
Vastaanottaja ei täsmää: Tarkasta, että kokoonpanossasi määritetty vastaanottaja vastaa vahvistuksessa olevaa vastaanottajaa.
Toisto havaittu: Jokaisella vahvistuksella on yksilöllinen tunnus. Tämä virhe tarkoittaa, että Salesforce havaitsi toistuvan vahvistuksen tunnuksen.
Allekirjoitus virheellinen: Määrityksen aikana palvelimelle lataamasi sertifikaatti ei voinut todentaa vahvistuksessa olevaa allekirjoitusta. Tee yhteistyötä henkilöllisyydentarjoajan kanssa varmistaaksesi, että sinulla on oikea sertifikaatti.
Aiheen vahvistusvirhe: Tarkasta, että kokoonpanossasi määritetty <Subject>-arvoa vastaa vahvistuksessa olevaa <Subject>-arvoa.

SAML-vahvistuksen varmistaja

Kun suoritat SAML-vahvistuksen varmistajan, se vertaa vahvistusta Salesforcen vaatimuksiin ja kertoo sinulle, täyttääkö se ne. Salesforce käyttää vahvistuksille seuraavia vaatimuksia, jotka näytetään tässä järjestyksessä kuin tulokset sivulla.

Tila

SAML-vastauksen tilakentän täytyy tarkoittaa onnistunutta tulosta.

Todennuslauseke

Henkilöllisyydentarjoajan täytyy sisällyttää vahvistukseen <AuthenticationStatement>.

Ehtolause

Jotkin vahvistukset käyttävät <Conditions>-lauseketta rajoittaakseen vahvistuksen voimassaoloajan, jota kutsutaan voimassaoloajaksi. Jos vahvistus sisältää aikaleiman sisältävän <Conditions>-lausekkeen, aikaleiman täytyy olla käypä.

Aikaleimat

Henkilöllisyydentarjoaja luo aikaleiman osoittaakseen, milloin se lähetti vahvistuksen. Salesforcen täytyy saada vahvistus henkilöllisyydentarjoajalta 5 minuutin kuluessa aikaleimasta, plus tai miinus 3 minuuttia. Käytännössä tämä rajoitus tarkoittaa, että Salesforce voi vastaanottaa vahvistuksen 8 minuuttia aikaleiman jälkeen tai 3 minuuttia ennen sitä. Jos vahvistus määrittää lyhyemmän voimassaoloajan, varmistaja tarkistaa myös kyseisen vaatimuksen. Myös NotBefore- ja NotOnOrAfter-rajoitusten täytyy olla määritettyjä ja käypiä.

Attribuutti

Jos määrität Salesforce-kokoonpanosi arvoksi Identity is in an Attribute element, henkilöllisyydentarjoajalta saatu vahvistus täytyy sisältää <AttributeStatement>.

Vain <AttributeName> vaaditaan.

Formaatti

<Issuer>-lausekkeen Format-attribuutin täytyy olla "urn:oasis:names:tc:SAML:2.0:nameid-format:entity" tai ei määritetty ollenkaan.

Esimerkki:

<saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://www.salesforce.com</saml:Issuer>

Tämä esimerkki on myös käypä:

<saml:Issuer >https://www.salesforce.com</saml:Issuer>

Myöntäjä

Vahvistuksessa määritetyn myöntäjän täytyy vastata Salesforcessa määrittämääsi myöntäjää.

Aihe

Vahvistuksen aiheen täytyy olla käyttäjän Salesforce-käyttäjänimi tai yhdistämistunnus.

Kohdeyleisö

Vahvistuksen täytyy sisältää <Audience>-arvo, joka vastaa kokoonpanossasi määrittämääsi entiteetin tunnusta. Oletusarvo on https://saml.salesforce.com.

Vastaanottaja

Vahvistuksen täytyy sisältää Salesforcen sisäänkirjautumissivun URL-osoitetta vastaava vastaanottajaa, jonka määritit Salesforce-kokoonpanossa, tai OAuth 2.0 -valtuuden päätepistettä.

Allekirjoitus

Vahvistuksen täytyy sisältää käypä allekirjoitus. Allekirjoitus täytyy luoda yksityisellä avaimella, joka liittyy SSO-kertakirjautumisen määrittämisen aikana valitsemaasi sertifikaattiin. Suosittelemme, että henkilöllisyydentarjoajasi allekirjoittaa vastauksen tekstiosan ja vahvistuksen. Kun Salesforce vastaanottaa SAML-vastauksen SSO-kertakirjautumisen aikana, se etsii ensin allekirjoituksen vastauksen tekstiosasta. Jos vastauksen tekstiosassa on käypä allekirjoitus, vahvistuksen katsotaan olevan käypä allekirjoitus. Jos vastauksen tekstiosassa oleva allekirjoitus puuttuu tai on virheellinen, Salesforce etsii allekirjoituksen itse vahvistuksesta.

Sivuston URL -määrite

Sallitut arvot ovat:

Ei annettu
Merkitty
Sivuston URL on virheellinen
HTTPS vaaditaan Sivuston URL:lle
Määritetty Sivusto on ei-aktiivinen tai se on ylittänyt sivurajoituksensa

Portaalin ja organisaation tunnus

Valinnainen. Kun SAML-sisäänkirjautumista käytetään portaalissa, vahvistuksessa olevan vastaanottajan ja organisaation tunnuksen täytyy vastata SSO-kokoonpanossasi määritettyä vastaanottajaa ja organisaation tunnusta.

Istunnon suojaustaso

Valinnainen. Istunnon suojaustaso kuvaa, miten turvallinen käyttäjäistunto on. Jos olet määrittänyt istuntojen suojausasetukset, vahvistuksessa määritetyn istunnon suojaustason täytyy vastata kokoonpanoasi.

Katso myös:

SAML SSO ja Salesforce palveluntarjoajana

Ratkaisiko tämä artikkeli ongelmasi?

Anna palautetta, jotta voimme kehittyä!

Tämä teksti on käännetty Salesforcen konekäännösjärjestelmän avulla. Katso lisätietoja täältä.

SAML-sisäänkirjautumisvirheet

Vaaditut versiot

Kirjautumishistoria

SAML-vahvistuksen varmistaja

Katso myös:

General Information

Required Cookies

Functional Cookies

Advertising Cookies

General Information

Required Cookies

Functional Cookies

Advertising Cookies

Cookie List

Tämä teksti on käännetty Salesforcen konekäännösjärjestelmän avulla. Katso lisätietoja täältä.Vaihda englantiinEi nyt

Tuotealue

Ominaisuuden vaikutus

Edition

Kokemus

SAML-sisäänkirjautumisvirheet

Vaaditut versiot

Kirjautumishistoria

SAML-vahvistuksen varmistaja

Katso myös:

Tämä teksti on käännetty Salesforcen konekäännösjärjestelmän avulla. Katso lisätietoja täältä.