本文為您介紹RAM中單點登入(SSO)相關的一些常見問題。
如何在瀏覽器中查看SAML響應?
當您在單點登入過程中遇到問題時,您可以在Google Chrome瀏覽器中,查看SAML響應,方便定位問題。不同瀏覽器版本的操作可能略有差異,如下以Google Chrome 108.0.5359.125(64位)為例,為您介紹具體的操作步驟。
按F12,開啟開發人員工具控制台。
單擊Network頁簽,然後選中Preserve log。
重現問題。
在Network的日誌資料中,尋找sso。選擇目標資料,單擊Payload頁簽,查看SAML響應。
使用者SSO時,報錯“該使用者不存在”,怎麼辦?
問題原因 | 解決方案 |
阿里雲需要通過UPN(User Principal Name)來定位一個RAM使用者,所以要求企業IdP產生的SAML響應包含使用者的UPN,其中UPN尾碼可以是域別名、輔助網域名稱或預設網域名稱。如果企業IdP中的使用者名稱尾碼與RAM使用者的UPN尾碼不一致,就會匹配失敗。更多資訊,請參見使用者SSO的SAML響應中的NameID元素和NameID樣本。 | 設定輔助網域名稱,使RAM使用者的UPN尾碼與企業IdP中的一致。具體操作,請參見進行使用者SSO時阿里雲SP的SAML配置。 |
在RAM中沒有建立RAM使用者,或建立的RAM使用者名稱與IdP中的使用者名稱不一致。 |
|
SCIM使用者同步沒有成功。 | 查詢IdP中SCIM同步處理記錄,尋找同步失敗的原因做對應處理。 |
同一個使用者,IdP中的UPN和同步到RAM中的UPN不一致。可能的情況:
| 在IdP單點登入配置中設定的使用者名稱對應轉換規則與SCIM同步中的配置的保持一致。 |
SAML響應中的 | 在SAML響應中,找到 部分IdP有單獨的Audience URL配置項,請確認配置正確。 |
角色SSO時,報錯“NoPermission.NotTrusted”,怎麼辦?
問題原因 | 解決方案 |
在SAML響應的 |
|
角色SSO時,報錯“屬性錯誤Role”,怎麼辦?
問題原因 | 解決方案 |
企業IdP中 | 在企業IdP中修改 |
角色SSO時,報錯“InvalidParameter.RoleSessionName”,怎麼辦?
問題原因 | 解決方案 |
企業IdP中 | 在企業IdP中檢查並修改 |
當前登入的使用者在IdP側缺少RoleSessionName對應的屬性值。例如:IdP中指定Email為RoleSessionName,但登入使用者在IdP沒有錄入Email資訊。 | 確認IdP中指定RoleSessionName對應的屬性,設定登入使用者的屬性值。 |
SSO登入時,報錯“The assertion signature is invalid” 和“The assertion signature is invalid 或 Sigin token到期”,怎麼辦?
問題原因 | 解決方案 |
企業IdP中使用的簽名公私密金鑰對發生了輪轉,但未更新在阿里雲中配置的IdP中繼資料。 | 更新在阿里雲中配置的IdP中繼資料。您可以從企業IdP下載最新的中繼資料檔案,重新上傳到阿里雲中。 |
企業IdP中使用的簽名公私密金鑰對發生了輪轉,且更新了在阿里雲中配置的IdP中繼資料。但IdP在輪轉期間可能仍在使用舊的私密金鑰,而阿里雲中配置的中繼資料只包含新的公開金鑰。 | 在阿里雲中配置的IdP中繼資料應該同時包含新舊公開金鑰。配置包含兩個公開金鑰的中繼資料方法如下:
|
中繼資料檔案較大導致上傳沒有成功。 | 請在上傳檔案後稍等片刻,直至上傳完成。完成後,下載中繼資料檔案檢查上傳內容是否完整。 |
自建IdP的metadata參數缺失或參數不正確,怎麼辦?
問題原因 | 解決方案 |
metadata參數未按SAML 2.0協議配置。 | 參照SAML 2.0協議正確配置參數。更多資訊,請參見SAML 2.0。 |