本文為您介紹云SSO中單點登錄(SSO)相關的一些常見問題。

如何在瀏覽器中查看SAML響應?

當您在單點登錄過程中遇到問題時,您可以在Google Chrome瀏覽器中,查看SAML響應,方便定位問題。不同瀏覽器版本的操作可能略有差異,如下以Google Chrome 108.0.5359.125(64位)為例,為您介紹具體的操作步驟。

  1. F12,打開開發者工具控制臺。
  2. 單擊Network頁簽,然后選中Preserve log
  3. 重現問題。
  4. Network的日志數據中,查找sso。選擇目標數據,單擊Payload頁簽,查看SAML響應。

單點登錄時,報錯“InvalidSubjectValue”或“InvalidUser”,怎么辦?

問題原因解決方法
在云SSO中沒有創建用戶,或創建的云SSO用戶名與IdP中的用戶名不一致。
  • 修改云SSO用戶名,使其與IdP中的用戶名保持一致。
  • 因云SSO用戶名存在字符限制,只能包含英文字母、數字和特殊字符@_-.,最多64個字符,所以IdP中的用戶名需要遵從云SSO的這個字符限制。如果不滿足,請嘗試以下方法:
    • 修改IdP中的用戶名,使其符合云SSO的字符要求。
    • 修改IdP單點登錄配置中唯一標識用戶的字段。您可以選擇E-mail等其他能唯一標識用戶且不帶有特殊字符的字段。
    • 在IdP單點登錄配置中設置用戶名映射的轉換規則。
SCIM用戶同步沒有成功。查詢IdP中SCIM同步日志,查找同步失敗的原因做對應處理。
同一個用戶,IdP中的UPN和同步到云SSO中的UPN不一致。可能的情況:
  • SCIM同步時選擇同步到云SSO的用戶名使用的不是UPN。
  • SCIM同步配置了用戶名映射的轉換規則。
在IdP單點登錄配置中設置的用戶名映射轉換規則與SCIM同步中的配置的保持一致。

SSO登錄時,報錯“The assertion signature is invalid” 和“The assertion signature is invalid 或 Sigin token過期”,怎么辦?

問題原因解決方法
企業IdP中使用的簽名公私鑰對發生了輪轉,但未更新在阿里云中配置的IdP元數據。更新在阿里云中配置的IdP元數據。您可以從企業IdP下載最新的元數據文件,重新上傳到阿里云中。
企業IdP中使用的簽名公私鑰對發生了輪轉,且更新了在阿里云中配置的IdP元數據。但IdP在輪轉期間可能仍在使用舊的私鑰,而阿里云中配置的元數據只包含新的公鑰。在阿里云中配置的IdP元數據應該同時包含新舊公鑰。配置包含兩個公鑰的元數據方法如下:
  • 創建新的證書(不要禁用或刪除舊證書)。
  • 下載新的元數據文件,確認元數據文件中是否包含新舊證書公鑰。
    • 部分IdP(例如:Azure AD)的元數據文件自動包含新舊證書。
    • 如果元數據文件未包含新舊證書公鑰,需要手動修改元數據文件添加證書。在云SSO的單點登錄配置中下載舊的元數據文件,在元數據文件中的KeyDescriptor的部分,復制X509Certificate原證書信息,粘貼到新的元數據文件中相同位置,然后保存。
    • 云SSO的單點登錄配置中上傳新的元數據文件。
    • 在IdP單點登錄配置中激活新的證書,禁用老的證書。
元數據文件較大導致上傳沒有成功。請在上傳文件后稍等片刻,直至上傳完成。完成后,下載元數據文件檢查上傳內容是否完整。

自建IdP的metadata參數缺失或參數不正確,怎么辦?

問題原因解決方法
metadata參數未按SAML 2.0協議配置。參照SAML 2.0協議正確配置參數。更多信息,請參見SAML 2.0