Résoudre les problèmes liés à l’authentification unique

Bien que les erreurs SSO soient souvent faciles à corriger, les tests et le débogage peuvent être un défi. Pour des raisons de sécurité, les utilisateurs qui tentent de se connecter ne reçoivent qu’un message générique indiquant que la connexion était incorrecte. Utilisez les outils de diagnostic de votre société pour afficher et résoudre des erreurs plus spécifiques.

Vérifiez les paramètres de configuration SSO

De nombreux problèmes de SSO sont le résultat de paramètres de configuration incorrects. Si vous ne pouvez pas vous connecter via l’authentification unique, les utilisateurs administrateurs peuvent contourner l’authentification unique et se connecter à la page de connexion standard en utilisant leur nom d’utilisateur et leur mot de passe administrateur.

Les paramètres de configuration SSO se trouvent dans les zones suivantes :

Voir Configurer l’authentification unique pour plus d’informations sur les paramètres de configuration.

Afficher le journal d’accès

Le journal d’accès est un rapport qui enregistre chaque fois qu’un utilisateur tente de se connecter à une société. Le journal d’accès regroupe les données par utilisateur, puis par date et heure. Il répertorie toutes les tentatives d’authentification unique ayant échoué comme « Accès à l’authentification unique non valide » dans la Résultat de la connexion et affiche l’erreur associée dans la colonne Description pour l’utilisateur concerné.

En savoir plus sur le Journal d’accès.

Pour afficher le journal d’accès :

  1. Atteindre > de la société Tout > Journaux et sélectionnez Journal d’accès.
  2. Définissez les filtres applicables et sélectionnez Vue.

    Intacct affiche les données d’accès qui correspondent aux critères donnés.

  3. Analysez la Résultat de la connexion pour « Accès à l’authentification unique non valide » et voir la colonne correspondante Description information.

    Voir le Code d’erreur SSO et tableau de résolution pour plus d’informations sur les erreurs.

Tester le SSO d’un utilisateur

Vous pouvez tester l’authentification unique d’un utilisateur à partir de la fiche utilisateur applicable. Intacct ouvre une fenêtre de navigateur temporaire et tente de se connecter avec l’authentification unique pour l’utilisateur. Lorsque la fenêtre se ferme, Intacct affiche les résultats de la tentative dans la zone de texte située sous le bouton de test. Vous pouvez également afficher les résultats d’erreur de ce test dans le journal d’accès.

Pour tester l’authentification unique d’un utilisateur :

  1. Atteindre > de la société Tout > utilisateurset sélectionnez Utilisateurs.

    La liste Utilisateurs s’affiche.

  2. Recherchez l’utilisateur souhaité et sélectionnez Éditer à côté.
  3. Sélectionnez l’icône Authentification unique onglet.
  4. Choisir Tester la connexion unique.

    Une autre fenêtre de navigateur s’affiche et tente d’utiliser l’authentification unique pour l’utilisateur.

    5. Si l’authentification unique réussit, le message « Le test d’authentification unique a réussi » s’affiche.

    Erreurs possibles :

    • Si votre société n’est pas en mesure d’accéder au fournisseur d’identité configuré, une erreur 404 ou une erreur générée par le fournisseur d’identité peut apparaître dans la fenêtre du navigateur.
    • Si l’authentification unique échoue en raison de l’incapacité à traiter la réponse du fournisseur d’identité SSO, une erreur peut apparaître dans la zone de texte située sous la Tester la connexion unique bouton. Cette erreur apparaîtra également dans le journal d’accès.
    • S’il y a un autre type de problème de connexion, la page de connexion peut s’afficher et la fenêtre ne se ferme pas. Voir Autres erreurs de connexion pour plus d’informations.
  1. Atteindre > de la société Tout > utilisateurset sélectionnez Utilisateurs.

    La liste Utilisateurs s’affiche.

  2. Recherchez l’utilisateur pour lequel vous souhaitez tester le SSO.

  3. Choisir Éditer à la fin de la ligne.

  4. Sélectionnez l’icône Authentification unique onglet.
  5. Choisir Tester la connexion unique.

    Une autre fenêtre de navigateur s’affiche et tente d’utiliser l’authentification unique pour l’utilisateur.

    6. Si l’authentification unique réussit, le message « Le test d’authentification unique a réussi » s’affiche.

    Erreurs possibles :

    • Si votre société n’est pas en mesure d’accéder au fournisseur d’identité configuré, une erreur 404 ou une erreur générée par le fournisseur d’identité peut apparaître dans la fenêtre du navigateur.
    • Si l’authentification unique échoue en raison de l’incapacité à traiter la réponse du fournisseur d’identité SSO, une erreur peut apparaître dans la zone de texte située sous la Tester la connexion unique bouton. Cette erreur apparaîtra également dans le journal d’accès.
    • S’il y a un autre type de problème de connexion, la page de connexion peut s’afficher et la fenêtre ne se ferme pas. Voir Autres erreurs de connexion pour plus d’informations.

Codes d’erreur et résolutions

Les erreurs suivantes peuvent apparaître dans le journal d’accès ou à la suite de la connexion d’un utilisateur test.

Erreur Résolution
Réponse SSO non valide.

Vérifiez les paramètres de la Informations sur la société page. Solutions possibles :

  • Vérifiez que le certificat SSO est un certificat x.509 valide et qu’il correspond à celui de votre fournisseur SSO.

    Le certificat SSO émis par votre fournisseur d’identité SSO a peut-être été copié de manière incorrecte dans votre société ou le certificat d’origine a peut-être expiré.

    Le certificat x.509 doit être au format PEM et généré avec une signature de hachage SHA-256.

  • Vérifiez que la sélection Type de fournisseur d’identité est correcte.

L’authentification unique n’est pas activée pour cette société.

La configuration de l’authentification unique est incomplète ou n’est jamais terminée. Voir Configurer l’authentification unique pour plus d’informations sur l’activation de l’authentification unique.

L’authentification unique n’est pas activée pour l’utilisateur <Intacct user="" id="">.</Intacct>

Modifiez la fiche de l’utilisateur pour activer l’authentification unique. Voir Configurer des utilisateurs individuels pour des instructions détaillées.

<Intacct user="" id=""> L’utilisateur a tenté de se connecter, mais <SSO federated="" id=""> l’ID d’utilisateur fédéré envoyé par le fournisseur SSO ne correspond pas à <Intacct federated="" id=""> l’ID d’utilisateur fédéré dans la fiche de l’utilisateur.</Intacct></SSO></Intacct>

Modifier la fiche de l’utilisateur et corriger les Identifiant d’utilisateur SSO fédéré. Voir Configurer des utilisateurs individuels pour des instructions détaillées.

Autres erreurs de connexion

Votre société ne peut pas capturer les erreurs SSO si l’une des conditions suivantes est remplie :

  • Si votre entreprise est introuvable
  • Si l’URL du fournisseur d’identité est introuvable
  • Si la réponse du fournisseur d’identité ne peut pas être interprétée

Ces types d’erreurs n’apparaîtront pas dans le journal d’accès ni dans les résultats de l’authentification unique de l’utilisateur test. Le tableau suivant répertorie certaines des erreurs qui se produisent à la suite de l’une des conditions ci-dessus :

Problème Résolution

Les données de configuration SSO sont envoyées à la mauvaise société ou à une société non valide.

Si la tentative de connexion SSO ne parvient pas à se connecter à votre société, l’échec ne peut pas être consigné dans un journal d’accès.  Vérifiez la configuration de votre fournisseur d’identité SSO.

Définition de l’authentification unique Identifier le type de prestataire de manière incorrecte dans la page Informations sur la société.

Vérifiez le Type de fournisseur d’identité dans le Informations sur la société page. Les options sont : SAML 2.0 et SAML 2.0 avec ADFS.  Si le paramètre n’est pas approprié, la connexion SSO peut ne pas être contournée quant à la société à laquelle se connecter, ce qui entraîne une erreur de non-journalisation.

Sur la page d’authentification unique, sélectionnez S'identifier. La page de connexion actualise les champs ID utilisateur et Société et rien ne se passe ou ne s’affiche.

Intacct ne parvient pas à se connecter au fournisseur d’identité SSO. Vérifiez le URL de connexion pour votre fournisseur d’identité SSO dans la Informations sur la société page.

Les attributs SAML incorrects sont renvoyés par le fournisseur d’identité SSO.

Pour les connexions initiées à partir du fournisseur d’identité, votre société s’attend à ce que l’ID de société soit renvoyé dans l’attribut Nom de société de l’assertion SAML et que l’ID utilisateur soit renvoyé dans l’attribut Nom. Vérifiez la configuration de votre fournisseur d’identité SSO.