本文為您介紹雲SSO中單點登入(SSO)相關的一些常見問題。
如何在瀏覽器中查看SAML響應?
當您在單點登入過程中遇到問題時,您可以在Google Chrome瀏覽器中,查看SAML響應,方便定位問題。不同瀏覽器版本的操作可能略有差異,如下以Google Chrome 108.0.5359.125(64位)為例,為您介紹具體的操作步驟。
按F12,開啟開發人員工具控制台。
單擊Network頁簽,然後選中Preserve log。
重現問題。
在Network的日誌資料中,尋找sso。選擇目標資料,單擊Payload頁簽,查看SAML響應。
單點登入時,報錯“InvalidSubjectValue”或“InvalidUser”,怎麼辦?
| 問題原因 | 解決方案 |
| 在雲SSO中沒有建立使用者,或建立的雲SSO使用者名稱與IdP中的使用者名稱不一致。 |
|
| SCIM使用者同步沒有成功。 | 查詢IdP中SCIM同步處理記錄,尋找同步失敗的原因做對應處理。 |
同一個使用者,IdP中的UPN和同步到雲SSO中的UPN不一致。可能的情況:
| 在IdP單點登入配置中設定的使用者名稱對應轉換規則與SCIM同步中的配置的保持一致。 |
SSO登入時,報錯“The assertion signature is invalid” 和“The assertion signature is invalid 或 Sigin token到期”,怎麼辦?
| 問題原因 | 解決方案 |
| 企業IdP中使用的簽名公私密金鑰對發生了輪轉,但未更新在阿里雲中配置的IdP中繼資料。 | 更新在阿里雲中配置的IdP中繼資料。您可以從企業IdP下載最新的中繼資料檔案,重新上傳到阿里雲中。 |
| 企業IdP中使用的簽名公私密金鑰對發生了輪轉,且更新了在阿里雲中配置的IdP中繼資料。但IdP在輪轉期間可能仍在使用舊的私密金鑰,而阿里雲中配置的中繼資料只包含新的公開金鑰。 | 在阿里雲中配置的IdP中繼資料應該同時包含新舊公開金鑰。配置包含兩個公開金鑰的中繼資料方法如下:
|
| 中繼資料檔案較大導致上傳沒有成功。 | 請在上傳檔案後稍等片刻,直至上傳完成。完成後,下載中繼資料檔案檢查上傳內容是否完整。 |
自建IdP的metadata參數缺失或參數不正確,怎麼辦?
問題原因 | 解決方案 |
metadata參數未按SAML 2.0協議配置。 | 參照SAML 2.0協議正確配置參數。更多資訊,請參見SAML 2.0。 |