Errori di accesso SAML
Se gli utenti hanno problemi ad accedere all'organizzazione con Single Sign-On (SSO), utilizzare la cronologia accessi per determinare se si tratta di un errore di asserzione SAML o di un problema di configurazione. Se è un errore correlato all'asserzione, identificare i problemi specifici delle asserzioni con il Validatore asserzione SAML. Collaborare con il provider di identità per assicurarsi che sia l'asserzione SAML che la configurazione SSO siano valide.
Versioni (Edition) richieste
| Disponibile in: Salesforce Classic e Lightning Experience |
L'autenticazione federata è disponibile in: tutte le versioni L'autenticazione delegata è disponibile nelle versioni: Professional Edition, Enterprise Edition, Performance Edition, Unlimited Edition, Developer Edition e Database.com Edition I provider di autenticazione sono disponibili nelle versioni: Professional Edition, Enterprise Edition, Performance Edition, Unlimited Edition e Developer Edition |
| Autorizzazioni utente richieste | |
|---|---|
| Per visualizzare le impostazioni: | Visualizza impostazione e configurazione |
| Per modificare le impostazioni: | Personalizza applicazione E Modifica tutti i dati |
Cronologia accessi
Utilizzare la cronologia accessi per determinare se un errore di accesso è correlato all'asserzione SAML o alla configurazione SSO.
Se viene visualizzato uno di questi errori nella cronologia accessi, utilizzare il validatore asserzione SAML per trovare l'errore specifico nell'asserzione.
- Asserzione scaduta
- L'indicazione oraria sull'asserzione è troppo vecchia.
- Asserzione non valida
- Qualcosa non va nell'asserzione, ad esempio manca un elemento <Subject>.
- Pubblico non valido
- Il valore specificato in
<Audience>non corrisponde all'ID entità specificato durante la configurazione SSO.
Se nella cronologia accessi compare uno degli errori seguenti, controllare le impostazioni SSO per vedere se esiste un problema di configurazione. Da Imposta, immettere Impostazioni Single Sign-On nella casella Ricerca veloce e quindi selezionare Impostazioni Single Sign-On. Richiedere un'asserzione SAML di esempio al proprio provider di identità e verificare che le informazioni nella configurazione siano corrette. Se la configurazione è corretta, eseguire l'asserzione di esempio con il Validatore asserzione SAML.
- Errore di configurazione/autorizzazione disabilitata
- È stato rilevato un errore nella configurazione SAML in Salesforce. Ad esempio, il certificato caricato è danneggiato o SAML è disabilitato nelle impostazioni Single Sign-On dell'organizzazione.
- Mancata corrispondenza emittente
- Verificare se l'emittente specificato nella configurazione corrisponde all'emittente indicato nell'asserzione.
- Mancata corrispondenza destinatario
- Verificare se il destinatario specificato nella configurazione corrisponde al destinatario indicato nell'asserzione.
- Rilevato duplicato
- Ogni asserzione ha un ID univoco. Questo errore indica che Salesforce ha rilevato un ID asserzione ripetuto.
- Firma non valida
- Il certificato caricato durante la configurazione non ha convalidato la firma nell'asserzione. Rivolgersi al provider di identità per verificare se si dispone del certificato corretto.
- Errore di conferma oggetto
- Verificare se il valore <Subject> specificato nella configurazione corrisponde al valore <Subject> indicato nell'asserzione.
Validatore asserzione SAML
Quando viene eseguito, il Validatore asserzione SAML controlla l'asserzione a fronte dei requisiti di validità di Salesforce e indica se l'asserzione soddisfa ogni requisito. Salesforce impone i seguenti requisiti di validità per le asserzioni, riportati nell'ordine in cui appaiono nella pagina dei risultati:
- Stato
- Il campo di stato della risposta SAML deve indicare un esito positivo.
- Istruzione di autenticazione
- Il provider di identità deve includere un
<AuthenticationStatement>nell'asserzione. - Istruzione di condizioni
- Alcune asserzioni utilizzano un'istruzione
<Conditions>per limitare il periodo di tempo in cui l'asserzione è valida, detto periodo di validità. Se l'asserzione contiene un'istruzione<Conditions>con un'indicazione oraria, l'indicazione oraria deve essere valida. - Timestamp
- Il provider di identità genera un indicatore orario per indicare quando invia l'asserzione. Salesforce deve ricevere l'asserzione dal provider di identità entro 5 minuti dall'indicatore orario, più o meno 3 minuti. In pratica, questo limite significa che Salesforce può ricevere l'asserzione al massimo 8 minuti dopo l'indicatore orario o 3 minuti prima di esso. Se l'asserzione specifica un periodo di validità più breve, il validatore controlla anche questo requisito. Anche i vincoli di
NotBeforeeNotOnOrAfterdevono essere definiti e validi. - Attributo
- Se si imposta la configurazione di Salesforce su Identity is in a Attribute element, l'asserzione del provider di identità deve contenere un
<AttributeStatement>. - È richiesta solo l'
<AttributeName>. - Formato
- L'attributo
Formatdi un'istruzione<Issuer>deve essere impostato su "urn:oasis:names:tc:SAML:2.0:nameid-format:entity" o non deve essere impostato affatto.Ad esempio:
<saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://www.salesforce.com</saml:Issuer>Anche questo esempio è valido:
<saml:Issuer >https://www.salesforce.com</saml:Issuer> - Emittente
- L'emittente specificato nell'asserzione deve corrispondere all'emittente specificato durante la configurazione di Salesforce.
- Oggetto
- L'oggetto dell'asserzione deve essere il nome utente Salesforce o l'ID federazione dell'utente.
- Pubblico
- L'asserzione deve contenere un valore
<Audience>corrispondente all'ID entità specificato nella configurazione. Il valore predefinito èhttps://saml.salesforce.com. - Destinatario
- L'asserzione deve contenere un destinatario corrispondente all'URL di accesso Salesforce specificato nella configurazione di Salesforce o all'endpoint del token OAuth 2.0.
- Firma
- L'asserzione deve includere una firma valida. La firma deve essere creata utilizzando la chiave privata associata al certificato caricato durante la configurazione di SSO. Si consiglia al provider di identità di firmare il corpo della risposta e l'asserzione. Durante l'SSO, quando Salesforce riceve la risposta SAML, cerca innanzitutto una firma nel corpo della risposta. Se il corpo della risposta ha una firma valida, l'asserzione viene considerata una firma valida. Se la firma nel corpo della risposta è assente o non valida, Salesforce cerca una firma nell'asserzione stessa.
- Attributo URL sito
- I valori validi sono:
- Non fornito
- Selezionata
- URL sito non valido
- Per l'URL sito è richiesto HTTPS
- Il sito specificato è inattivo o ha superato il limite di pagina.
- Portale e ID organizzazione
- Facoltativo. Per l'accesso SAML a un portale, il destinatario e l'ID organizzazione indicati nell'asserzione devono corrispondere al destinatario e all'ID organizzazione specificati nella configurazione SSO.
- Livello di sicurezza sessione
- Facoltativo. Il livello di sicurezza sessione descrive in che misura è sicura una sessione utente. Se sono state configurate impostazioni di sicurezza per la sessione, il livello di sicurezza sessione nell'asserzione deve corrispondere alla configurazione.
