Fehlerbehebung bei SSO

Obwohl SSO-Fehler oft leicht zu beheben sind, können Tests und Fehlerbereinigungen eine Herausforderung darstellen. Aus Sicherheitsgründen erhalten Benutzer, die sich anmelden möchten, nur eine allgemeine Meldung, dass die Anmeldung falsch war. Verwenden Sie die Diagnosetools in Ihrem Unternehmen, um spezifischere Fehler anzuzeigen und zu beheben.

SSO-Konfigurationseinstellungen überprüfen

Viele SSO-Probleme sind das Ergebnis falscher Konfigurationseinstellungen. Wenn Sie sich nicht über SSO anmelden können, können Adminbenutzer SSO umgehen und sich auf der regulären Anmeldeseite mit ihrem Administrator-Benutzernamen und -Kennwort anmelden.

Die SSO-Konfigurationseinstellungen finden Sie in den folgenden Bereichen:

Siehe Single Sign-on einrichten finden Sie detaillierte Informationen zu den Konfigurationseinstellungen.

Zugriffsprotokoll anzeigen

Das Zugriffsprotokoll ist ein Report, der aufzeichnet, wann ein Benutzer versucht, sich bei einem Unternehmen anzumelden. Das Zugriffsprotokoll gruppiert Daten nach Benutzer und dann nach Datum und Uhrzeit. Sie listet alle fehlgeschlagenen SSO-Versuche als "Ungültiger Single Sign-On-Zugriff" im Anmeldeergebnis -Spalte und zeigt den zugehörigen Fehler in der Beschreibung -Spalte für den jeweiligen Benutzer.

Erfahren Sie mehr über die Zugriffsprotokoll.

So zeigen Sie das Zugriffsprotokoll an:

  1. Gehe zu Unternehmen > Alle > Protokolle und wählen Sie Zugriffsprotokoll.
  2. Legen Sie die entsprechenden Filter fest und wählen Sie Ansehen.

    Intacct zeigt Zugriffsdaten an, die den angegebenen Kriterien entsprechen.

  3. Scannen Sie die Anmeldeergebnis Spalte für "Ungültiger Single Sign-On-Zugriff" und siehe die entsprechende Beschreibung Informationen.

    Siehe die SSO-Fehlercode und Lösungstabelle um Fehlerinformationen zu erhalten.

SSO eines Benutzers testen

Sie können die SSO eines Benutzers mit dem entsprechenden Benutzer-Datensatz testen. Intacct öffnet ein temporäres Browserfenster und versucht, sich mit SSO für den Benutzer anzumelden. Wenn das Fenster geschlossen wird, zeigt Intacct die Ergebnisse des Versuchs im Textfeld unter der Testschaltfläche an. Sie können alle Fehlerergebnisse dieses Tests auch im Zugriffsprotokoll anzeigen.

SSO eines Benutzers testen:

  1. Gehe zu Unternehmen > Alle > Benutzerund wählen Sie Benutzer.

    Die Liste Benutzer wird angezeigt.

  2. Suchen Sie den gewünschten Benutzer und wählen Sie Bearbeiten daneben stehen.
  3. Wählen Sie das Symbol Einmaliges Anmelden Tab.
  4. Auswählen Testen von Single Sign-on.

    Ein weiteres Browserfenster wird angezeigt und versucht, SSO für den Benutzer zu verwenden.

    5. Wenn SSO erfolgreich ist, wird die Meldung "SSO-Test war erfolgreich" angezeigt.

    Mögliche Fehler:

    • Wenn Ihr Unternehmen nicht auf den konfigurierten Identitätsanbieter zugreifen kann, wird möglicherweise ein 404-Fehler oder ein vom Identitätsanbieter generierter Fehler im Browserfenster angezeigt.
    • Wenn SSO fehlschlägt, weil die Antwort vom SSO-Identitätsanbieter nicht verarbeitet werden kann, wird möglicherweise ein Fehler im Textfeld unter dem Testen von Single Sign-on klicken. Dieser Fehler wird auch im Zugriffsprotokoll angezeigt.
    • Wenn es eine andere Art von Verbindungsproblem gibt, wird möglicherweise die Anmeldeseite angezeigt und das Fenster wird nicht geschlossen. Siehe Sonstige Verbindungsfehler für weitere Informationen.
  1. Gehe zu Unternehmen > Alle > Benutzerund wählen Sie Benutzer.

    Die Liste Benutzer wird angezeigt.

  2. Suchen Sie den Benutzer, für den Sie SSO testen möchten.

  3. Wählen Sie Bearbeiten am Ende der Zeile aus.

  4. Wählen Sie das Symbol Einmaliges Anmelden Tab.
  5. Auswählen Testen von Single Sign-on.

    Ein weiteres Browserfenster wird angezeigt und versucht, SSO für den Benutzer zu verwenden.

    6. Wenn SSO erfolgreich ist, wird die Meldung "SSO-Test war erfolgreich" angezeigt.

    Mögliche Fehler:

    • Wenn Ihr Unternehmen nicht auf den konfigurierten Identitätsanbieter zugreifen kann, wird möglicherweise ein 404-Fehler oder ein vom Identitätsanbieter generierter Fehler im Browserfenster angezeigt.
    • Wenn SSO fehlschlägt, weil die Antwort vom SSO-Identitätsanbieter nicht verarbeitet werden kann, wird möglicherweise ein Fehler im Textfeld unter dem Testen von Single Sign-on klicken. Dieser Fehler wird auch im Zugriffsprotokoll angezeigt.
    • Wenn es eine andere Art von Verbindungsproblem gibt, wird möglicherweise die Anmeldeseite angezeigt und das Fenster wird nicht geschlossen. Siehe Sonstige Verbindungsfehler für weitere Informationen.

Fehlercodes und Lösungen

Die folgenden Fehler können entweder im Zugriffsprotokoll oder als Ergebnis einer Testanmeldung von Benutzern auftreten.

Fehler Lösung
Ungültige SSO-Antwort.

Überprüfen Sie die Einstellungen im Unternehmensinformationen Seite. Mögliche Lösungen:

  • Stellen Sie sicher, dass das SSO-Zertifikat ein gültiges x.509-Zertifikat ist und mit dem Zertifikat Ihres SSO-Anbieters übereinstimmt.

    Das von Ihrem SSO-Identitätsanbieter ausgestellte SSO-Zertifikat wurde möglicherweise fälschlicherweise in Ihr Unternehmen kopiert oder das Original-Zertifikat ist abgelaufen.

    Das x.509-Zertifikat muss im PEM-Format vorliegen und mit einer SHA-256-Hashsignatur generiert werden.

  • Vergewissern Sie sich, dass die ausgewählte Identitätsanbietertyp ist richtig.

SSO ist für dieses Unternehmen nicht aktiviert.

Die SSO-Einrichtung ist unvollständig oder wurde nie abgeschlossen. Siehe Single Sign-on einrichten finden Sie Informationen zum Aktivieren von SSO.

SSO ist für den Benutzer nicht aktiviert <Intacct user="" id="">.</Intacct>

Bearbeiten Sie den Benutzer-Datensatz, um SSO zu aktivieren. Siehe Einzelne Benutzer einrichten für detaillierte Anweisungen.

Der Benutzer <Intacct user="" id=""> hat versucht, sich anzumelden, aber die <SSO federated="" id=""> vom SSO-Anbieter gesendete Verbund-ID Benutzer Benutzer stimmt nicht mit der Verbund-ID <Intacct federated="" id=""> im Datensatz des Benutzer überein.</Intacct></SSO></Intacct>

Bearbeiten Sie den Benutzer-Datensatz und korrigieren Sie die Angaben des Benutzers Benutzer-ID für föderiertes SSO. Siehe Einzelne Benutzer einrichten für detaillierte Anweisungen.

Sonstige Verbindungsfehler

Ihr Unternehmen kann SSO-Fehler nicht erfassen, wenn eine der folgenden Bedingungen erfüllt ist:

  • Wenn Ihr Unternehmen nicht gefunden werden kann
  • Wenn die URL des Identitätsanbieters nicht gefunden werden kann
  • Wenn die Antwort des Identitätsanbieters nicht interpretiert werden kann

Diese Arten von Fehlern werden nicht im Zugriffsprotokoll oder in den Ergebnissen der einmaligen Anmeldung von Test-Benutzern angezeigt. In der folgenden Tabelle sind einige der Fehler aufgeführt, die aufgrund einer der oben genannten Bedingungen auftreten:

Problem Lösung

SSO-Konfiguration Die Daten gehen an das falsche oder ein ungültiges Unternehmen.

Wenn der SSO-Anmeldeversuch keine Verbindung zu Ihrem Unternehmen herstellen kann, kann der Fehler nicht in einem Zugriffsprotokoll protokolliert werden.  Überprüfen Sie die Einrichtung Ihres SSO-Identitätsanbieters.

SSO festlegen Anbietertyp identifizieren auf der Seite "Unternehmensinformationen" falsch angegeben ist.

Überprüfen Sie, ob Identitätsanbietertyp im Unternehmensinformationen Seite. Es stehen folgende Optionen zur Verfügung: SAML 2.0 und SAML 2.0 mit ADFS.  Wenn die falsche Einstellung verwendet wird, kann die SSO-Anmeldung verwirrt sein, bei welchem Unternehmen sie sich anmelden soll, was zu einem nicht protokollierten Fehler führt.

Wählen Sie auf der Seite für einmaliges Anmelden die Option Anmelden. Auf der Anmeldeseite werden die Felder "Benutzer-ID" und "Unternehmen" aktualisiert, und es passiert nichts und es wird nichts angezeigt oder angezeigt.

Intacct kann keine Verbindung zum SSO-Identitätsanbieter herstellen. Überprüfen Sie, ob Anmelde-URL für Ihren SSO-Identitätsanbieter im Unternehmensinformationen Seite.

Die falschen SAML-Attribute werden vom SSO-Identitätsanbieter zurückgegeben.

Bei Anmeldungen, die vom Identitätsanbieter initiiert werden, erwartet Ihr Unternehmen, dass die Unternehmen-ID im Attribut "Name" Unternehmen der SAML-Assertion und die Benutzer-ID im Attribut "Name" zurückgegeben wird. Überprüfen Sie die Einrichtung Ihres SSO-Identitätsanbieters.