Documentación de Oracle Cloud Infrastructure

Errores de inicio de sesión de SAML

Identifique los mensajes de error de conexión de SAML y aprenda los pasos necesarios para resolverlos.

Los errores de conexión de SAML se muestran cuando se produce un problema con los metadatos o cuando falta un certificado de seguridad o no se puede validar. Para corregir, acceder, comparar y corregir los metadatos, o proporcionar certificados actuales del proveedor de servicios.

No se ha reconocido el partner de federación <partner_name>

Compare los metadatos de conexión única de la aplicación con los metadatos del proveedor de dominio de identidad para asegurarse de que coinciden.

Este mensaje se muestra si se ha producido un error de configuración al configurar SAML como proveedor de identidad o proveedor de servicios. Si los dominios de identidad son el proveedor de identidad (IdP), su configuración debe coincidir con los metadatos obtenidos del proveedor de servicios (SP). Si los dominios de identidad son el proveedor de servicios, su configuración debe coincidir con los metadatos obtenidos del proveedor de identidad.

Los dominios de identidad son el proveedor de identidad (IdP)

  1. Abra el menú de navegación y haga clic en Seguridad de identidad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Aplicaciones integradas.
  3. Acceda a la información de SSO de la aplicación SAML que se está verificando.
  4. Acceda a los metadatos del proveedor de dominios de identidad del proveedor de servicios en línea en https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  5. Compare entityID y AssertionConsumerService con la información de SSO de los metadatos y asegúrese de que coinciden.
  6. Si la desconexión única está activada, compare SingleLogoutService y ResponseLocation y asegúrese de que coincidan.
  7. Corrija las discrepancias.

Los dominios de identidad son el proveedor de servicios (SP)

  1. Abra el menú de navegación y haga clic en Seguridad de identidad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  3. Acceda a los metadatos de los dominios de identidad del proveedor de identidad en línea en https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata.
  4. Si ha cargado metadatos de IdP, asegúrese de haber cargado el archivo de metadatos correcto.
  5. Si ha introducido manualmente los metadatos IdP, asegúrese de que entityID y AssertionConsumerService coincidan con los metadatos IdP.
  6. Si la desconexión única está activada, compare SingleLogoutService y ResponseLocation y asegúrese de que coincidan.
  7. Corrija las discrepancias.

Falta el certificado al intentar verificar la firma digital entrante del partner <partner_name>

Cargue el certificado de seguridad que falta en la aplicación SAML.

Este mensaje se muestra cuando un certificado de firma no está en la aplicación SAML del dominio de identidad.

  1. Abra el menú de navegación y haga clic en Seguridad de identidad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Aplicaciones integradas.
  3. Acceda a la información de SSO de la aplicación SAML que se está verificando.
  4. Compruebe el campo Certificado de firma y, si está vacío, cargue el certificado recibido del proveedor de servicios.

Fallo al verificar la firma de consulta de dirección URL para el partner <partner_name>. Puede que sea necesario actualizar el certificado del socio remoto

Cargue el certificado de seguridad actual en la aplicación SAML.

Este mensaje se muestra cuando un certificado de firma en IDCS ha caducado o no se puede verificar.

  1. Abra el menú de navegación y haga clic en Seguridad de identidad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Aplicaciones integradas.
  3. Acceda a la información de SSO de la aplicación SAML que se está verificando.
  4. Cargue un certificado actual recibido del proveedor de servicios.

Fallo de verificación de firma para el socio <partner_name>. Puede que sea necesario actualizar el certificado del proveedor remoto

Cargue el certificado de seguridad actual en la aplicación SAML.

Este mensaje se muestra cuando un certificado de firma en un dominio de identidad ha caducado o no se puede verificar.

  1. Abra el menú de navegación y haga clic en Seguridad de identidad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  3. Haga clic en el menú Acciones (Menú Acciones) (menú Acciones) del proveedor de identidad que desea actualizar.
  4. Seleccione Editar IdP. Se abrirá una ventana que muestra los valores de configuración para el IdP.
  5. Si ha cargado metadatos de IdP, obtenga y cargue los metadatos actuales.
  6. Si ha introducido manualmente los metadatos IdP, obtenga y cargue un nuevo certificado de firma del IDP.

No se ha devuelto ningún usuario mediante la política de correlación

Los usuarios especificados en la afirmación de SAML deben existir en el almacén de datos del proveedor de servicios y el mecanismo de correlación de usuarios en el recurso IdP se debe configurar correctamente.

Este mensaje se muestra por uno de los dos motivos siguientes:
  • El usuario especificado no se agregó al proveedor de servicios. Navegue hasta el dominio y agréguelo.
  • El mecanismo de correlación de usuario en el recurso IdP está configurado incorrectamente. Compruebe que hay un usuario con el mecanismo de correlación definido en el recurso IdP.

No se ha encontrado ningún usuario en el almacén de datos del proveedor de servicios para la política de correlación definida

  1. Abra el menú de navegación y haga clic en Seguridad de identidad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Usuarios.
  3. Verifique que el usuario especificado esté en la lista de usuarios. Si no es así, cree un nuevo usuario o utilice Just in Time (JIT) o System for Cross-domain Identity Management (SCIM) para aprovisionar al usuario.

Problema de política de correlación

  1. Abra el menú de navegación y haga clic en Seguridad de identidad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  3. Verifique que la configuración del atributo de afirmación de SAML/ID de nombre coincide con el usuario definido en el almacén de identidades del proveedor de servicios. O bien, si alguna configuración de aprovisionamiento está activada, como JIT/SCIM, verifíquela también.

Se han devuelto varios usuarios mediante la política de correlación

El mecanismo de correlación de usuario en el recurso IdP se debe configurar correctamente.

Este mensaje se muestra si el ID de nombre de afirmación de SAML o la configuración del atributo de afirmación de SAML coinciden incorrectamente con varios usuarios.

  1. Abra el menú de navegación y haga clic en Seguridad de identidad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  3. Verifique el ID de nombre de afirmación de SAML o la configuración del atributo de afirmación de SAML. Puede que coincida con varios usuarios del almacén de identidades.

El partner de federación saml-app no está activado

Active la saml-app desactivada.

Este problema se produce cuando no se activa la aplicación SAML configurada en el extremo del IDP

  1. Abra el menú de navegación y haga clic en Seguridad de identidad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Aplicaciones integradas.
  3. Asegúrese de que la aplicación SAML que se está verificando está activada. Si no es así, haga clic en Activar.