本文为您介绍云SSO中单点登录(SSO)相关的一些常见问题。
如何在浏览器中查看SAML响应?
当您在单点登录过程中遇到问题时,您可以在Google Chrome浏览器中,查看SAML响应,方便定位问题。不同浏览器版本的操作可能略有差异,如下以Google Chrome 108.0.5359.125(64位)为例,为您介绍具体的操作步骤。
- 按F12,打开开发者工具控制台。
- 单击Network页签,然后选中Preserve log。
- 重现问题。
- 在Network的日志数据中,查找sso。选择目标数据,单击Payload页签,查看SAML响应。
单点登录时,报错“InvalidSubjectValue”或“InvalidUser”,怎么办?
| 问题原因 | 解决方法 |
|---|
| 在云SSO中没有创建用户,或创建的云SSO用户名与IdP中的用户名不一致。 | - 修改云SSO用户名,使其与IdP中的用户名保持一致。
- 因云SSO用户名存在字符限制,只能包含英文字母、数字和特殊字符
@_-.,最多64个字符,所以IdP中的用户名需要遵从云SSO的这个字符限制。如果不满足,请尝试以下方法:- 修改IdP中的用户名,使其符合云SSO的字符要求。
- 修改IdP单点登录配置中唯一标识用户的字段。您可以选择E-mail等其他能唯一标识用户且不带有特殊字符的字段。
- 在IdP单点登录配置中设置用户名映射的转换规则。
|
| SCIM用户同步没有成功。 | 查询IdP中SCIM同步日志,查找同步失败的原因做对应处理。 |
同一个用户,IdP中的UPN和同步到云SSO中的UPN不一致。可能的情况:- SCIM同步时选择同步到云SSO的用户名使用的不是UPN。
- SCIM同步配置了用户名映射的转换规则。
| 在IdP单点登录配置中设置的用户名映射转换规则与SCIM同步中的配置的保持一致。 |
SSO登录时,报错“The assertion signature is invalid” 和“The assertion signature is invalid 或 Sigin token过期”,怎么办?
| 问题原因 | 解决方法 |
|---|
| 企业IdP中使用的签名公私钥对发生了轮转,但未更新在阿里云中配置的IdP元数据。 | 更新在阿里云中配置的IdP元数据。您可以从企业IdP下载最新的元数据文件,重新上传到阿里云中。 |
| 企业IdP中使用的签名公私钥对发生了轮转,且更新了在阿里云中配置的IdP元数据。但IdP在轮转期间可能仍在使用旧的私钥,而阿里云中配置的元数据只包含新的公钥。 | 在阿里云中配置的IdP元数据应该同时包含新旧公钥。配置包含两个公钥的元数据方法如下:- 创建新的证书(不要禁用或删除旧证书)。
- 下载新的元数据文件,确认元数据文件中是否包含新旧证书公钥。
- 部分IdP(例如:Azure AD)的元数据文件自动包含新旧证书。
- 如果元数据文件未包含新旧证书公钥,需要手动修改元数据文件添加证书。在云SSO的单点登录配置中下载旧的元数据文件,在元数据文件中的
KeyDescriptor的部分,复制X509Certificate原证书信息,粘贴到新的元数据文件中相同位置,然后保存。 - 云SSO的单点登录配置中上传新的元数据文件。
- 在IdP单点登录配置中激活新的证书,禁用老的证书。
|
| 元数据文件较大导致上传没有成功。 | 请在上传文件后稍等片刻,直至上传完成。完成后,下载元数据文件检查上传内容是否完整。 |
自建IdP的metadata参数缺失或参数不正确,怎么办?
| 问题原因 | 解决方法 |
|---|
| metadata参数未按SAML 2.0协议配置。 | 参照SAML 2.0协议正确配置参数。更多信息,请参见SAML 2.0。 |