Dieser Artikel hilft Ihnen bei der Behebung von Problemen mit Ihrer Single Sign On-Einrichtung.
Warum müssen Nutzer ihre E-Mail-Adresse eingeben, wenn sie sich mit SAML SSO anmelden?
Die Anmeldeseite für Verwaltungsbenutzer ist zentralisiert und nicht spezifisch für Ihr Unternehmenskonto. Die Benutzer müssen zu Beginn einer SAML SSO-Anmeldung ihre E-Mail-Adresse eingeben, damit wir ihr Firmenkonto finden können.
Auf dem Endbenutzerportal ist die Eingabe der E-Mail-Adresse nicht erforderlich, da diese Anmeldeseiten spezifisch für Ihr Firmenkonto sind. Das bedeutet, dass unsere SAML SSO-Lösung Ihre Konfiguration direkt nachschlagen kann, um eine Verbindung mit Ihrem Identitätsanbieter herzustellen.
Warum funktioniert das SAML-Testprogramm in meinem Identitätsanbieter nicht?
Die Plattform generiert als Teil des SAML SSO-Authentifizierungsprozesses ein Vor-Authentifizierungs-Token. Dieses ist nicht vorhanden, wenn das SAML-Testdienstprogramm eines Identitätsanbieters verwendet wird, so dass die Plattform einen Fehlerbildschirm anzeigt. Dies liegt daran, dass die Plattform das Unternehmenskonto für den SAML SSO-Authentifizierungsversuch nicht verifizieren kann.
Sie müssen die SAML SSO-Integration testen, indem Sie sich bei der Plattform anmelden.
Ist die ACS-URL korrekt?
Die Assertion Consumer Service (ACS)-URL ist die URL, die der SAML SSO-Identitätsanbieter verwendet, um eine Antwort an unsere Plattform zu senden. SAML SSO-Authentifizierungsantworten erreichen die Plattform nicht, wenn die in Ihrem Identitätsanbieter konfigurierte ACS-URL falsch ist. In diesem Fall werden die Benutzer nach dem Identitätsanbieter-Teil des Prozesses nicht zur Plattform zurückgeleitet.
Vergewissern Sie sich, dass die ACS-URL in den SSO-Einstellungen der Plattform und die SAML SSO-Konfiguration Ihres Identitätsanbieters übereinstimmen. Die ACS-URL ändert sich, wenn Ihre Einstellung für die bevorzugte Domäne in der Plattform aktualisiert wird.
Ist die Entitäts-ID korrekt?
Die Entity ID identifiziert die Plattform als SAML-Dienstanbieter. Sie ist in den SAML-Anforderungs-URLs enthalten, die die Benutzer von der Anmeldeseite der Plattform zu Ihrem Identitätsanbieter weiterleiten. Wenn sie nicht korrekt ist, lehnt Ihr Identitätsanbieter die Anfrage ab, da der Dienstanbieter (d. h. die Plattform) nicht erkannt wird.
Bitte stellen Sie sicher, dass die Entity ID in den SSO-Einstellungen der Plattform und die SAML SSO-Konfiguration Ihres Identitätsanbieters übereinstimmen. Die Entitäts-ID ändert sich, wenn die Einstellung für die bevorzugte Domäne in der Plattform aktualisiert wird.
Ist die URL des SAML-Einstiegspunkts korrekt?
Die SAML-Einstiegspunkt-URL (oder Identitätsanbieter-SSO-URL) wird verwendet, um die SAML-Anforderungs-URLs zu erstellen, die Benutzer von der Anmeldeseite der Plattform zu Ihrem Identitätsanbieter umleiten. Wenn sie falsch ist, werden die Benutzer nicht zu Ihrem Identitätsanbieter weitergeleitet und SAML SSO ist nicht möglich.
Bitte stellen Sie sicher, dass der SAML-Einstiegspunkt in den SSO-Einstellungen der Plattform mit dem in der SAML-SSO-Konfiguration Ihres Identitätsanbieters übereinstimmt.
Ist Ihr SAML Signing Zertifikat korrekt oder ist es abgelaufen?
Das SAML-Signaturzertifikat (oder öffentliches x509-Zertifikat) wird verwendet, um die SAML-Anforderungs-URLs zu signieren, die Benutzer von der Anmeldeseite der Plattform zu Ihrem Identitätsanbieter umleiten. Wenn die Signatur nicht überprüft werden kann, lehnt Ihr Identitätsanbieter die Anfrage ab.
Im Zweifelsfall sollten Sie die SSO-Einstellungen der Plattform aufrufen und das Zertifikat durch das aktuelle aus der SAML-SSO-Konfiguration Ihres Identitätsanbieters ersetzen. Sie können auch den Fingerabdruck des aktuellen Zertifikats sehen, mit dem Sie überprüfen können, ob das vorhandene Zertifikat mit dem Ihres Identitätsanbieters übereinstimmt. Nicht alle Anbieter machen diesen Fingerabdruck sichtbar, weshalb wir empfehlen, das Zertifikat stattdessen in der Plattform zu ersetzen.
Diese Zertifikate haben ein Ablaufdatum, so dass Sie möglicherweise feststellen, dass SAML SSO nicht mehr funktioniert, weil das vorhandene Zertifikat abgelaufen ist. Es empfiehlt sich, das Ablaufdatum Ihrer SAML-Zertifikate zu überwachen und sie rechtzeitig zu ersetzen. Andernfalls könnten Sie aus dem System ausgesperrt werden, wenn Sie die SSO-Authentifizierung nur für Verwaltungsbenutzer auf der Plattform zulassen.
Sind die Benutzer der SAML SSO-Integration in Ihrem Identitätsanbieter zugewiesen?
Jeder Benutzer, der sich über SAML SSO bei der Plattform anmelden möchte, muss der Integration auf der Seite des Identitätsanbieters zugewiesen werden.
Die meisten Identitätsanbieter bieten eine Option zur Benutzerzuweisung entweder während der Einrichtung oder als Verwaltungsfunktion. Das Einrichten einer SAML SSO-Integration beinhaltet einen Schritt zur Benutzerzuweisung. Dieser sollte es Ihnen ermöglichen, die Benutzer festzulegen, die sich bei dem entsprechenden Dienstanbieter, d. h. dieser Plattform, authentifizieren können. Die zugewiesenen Benutzer sollten so weit wie möglich mit der Benutzerbasis der Plattform übereinstimmen. Wenn Sie beispielsweise eine der Sync-Integrationen verwenden, um Endbenutzer zu importieren, sollten Ihre SAML SSO-Benutzerzuweisungen die gleichen Gruppen umfassen.
Haben die Benutzer, bei denen SAML SSO-Probleme auftreten, Konten auf der Plattform?
Der SAML SSO-Authentifizierungsprozess gleicht Identitätsanbieter- und Plattform-Benutzerkonten anhand von E-Mail-Adressen ab. Diese Funktion unterstützt keine Benutzerbereitstellung, so dass als Reaktion auf eine erfolgreiche SAML-Authentifizierung keine Benutzerkonten erstellt werden. Benutzer, die sich mit SAML SSO authentifizieren müssen, benötigen Admin- und/oder Endbenutzerkonten auf der Plattform, um auf die Verwaltungskonsole bzw. das Endbenutzerportal zuzugreifen.
Meine Konfiguration sieht korrekt aus, aber es gibt immer noch Probleme bei der Anmeldung
Dies bedeutet in der Regel, dass Sie die SAML-Einrichtung Ihres Identitätsanbieters außerhalb der in unseren Einrichtungsanleitungen dokumentierten Optionen falsch konfiguriert haben. Unsere Lösung verlässt sich zum Beispiel auf den Relay-Status, der von Ihrem Identitätsanbieter zurückgegeben wird. Wenn Sie Optionen eingestellt haben, die den Relay-Status stören, kann das Token für die Vorauthentifizierung, das wir als Teil des SAML SSO-Authentifizierungsprozesses senden, verloren gehen oder verändert werden, wodurch unser Verifizierungsprozess unterbrochen wird.
Es kann vorkommen, dass sich Benutzer trotz einer erfolgreichen Anmeldung bei ihrem Identitätsanbieterkonto nicht anmelden können. Die Token für die Vorauthentifizierung, die wir während einer SAML SSO-Anmeldung ausgeben, verfallen nach kurzer Zeit. Wenn ein Benutzer den vollständigen SAML SSO-Anmeldeprozess in dieser Zeit nicht abschließen kann, muss er es erneut versuchen. Nachfolgende Versuche sollten schneller sein, da der Benutzer zu diesem Zeitpunkt bereits bei seinem Identitätsanbieter angemeldet ist.
Wenn Sie SAML SSO-Probleme an den Support melden, geben Sie bitte die folgenden Informationen an:
Von wo aus sich der Benutzer angemeldet hat, z. B. von der Verwaltungskonsole oder dem Endbenutzerportal
Ein Bericht darüber, was der Benutzer getan hat
Der verwendete Identitätsanbieter, z. B. Microsoft 365/Azure/Entra, Google Workspace
Verwendeter Browser und Betriebssystem
Screenshots oder Text aller zurückgegebenen Fehler, einschließlich des Fehlercodes in eckigen Klammern.
Die vollständige URL im Browser, als der Fehler auftrat
Was bedeutet diese SAML-Fehlermeldung bei Verwendung von Google Workspace als Identitätsanbieter?
Wenn Sie Google Workspace als Identitätsanbieter verwenden, wird Ihren Nutzern möglicherweise ein Google-Fehlerbildschirm angezeigt, wenn die SAML SSO-Authentifizierung fehlschlägt. Dies weist normalerweise auf ein Problem mit der benutzerdefinierten SAML-App hin, die Sie in Google Workspace für diese Integration erstellt haben. Eine vollständige Liste der Fehlermeldungen der Google SAML-App finden Sie hier zusammen mit möglichen Lösungen für die zugrunde liegenden Probleme.