日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 訪問控制 服務支持 常見問題 單點登錄(SSO)常見問題

單點登錄(SSO)常見問題

更新時間:
產品詳情
我的收藏

本文為您介紹RAM中單點登錄(SSO)相關的一些常見問題。

如何在瀏覽器中查看SAML響應?

當您在單點登錄過程中遇到問題時,您可以在Google Chrome瀏覽器中,查看SAML響應,方便定位問題。不同瀏覽器版本的操作可能略有差異,如下以Google Chrome 108.0.5359.125(64位)為例,為您介紹具體的操作步驟。

  1. F12,打開開發者工具控制臺。

  2. 單擊Network頁簽,然后選中Preserve log

  3. 重現問題。

  4. Network的日志數據中,查找sso。選擇目標數據,單擊Payload頁簽,查看SAML響應。

用戶SSO時,報錯“該用戶不存在”,怎么辦?

問題原因

解決方法

阿里云需要通過UPN(User Principal Name)來定位一個RAM用戶,所以要求企業IdP生成的SAML響應包含用戶的UPN,其中UPN后綴可以是域別名、輔助域名或默認域名。如果企業IdP中的用戶名后綴與RAM用戶的UPN后綴不一致,就會匹配失敗。更多信息,請參見用戶SSO的SAML響應中的NameID元素NameID示例

設置輔助域名,使RAM用戶的UPN后綴與企業IdP中的一致。具體操作,請參見進行用戶SSO時阿里云SP的SAML配置

在RAM中沒有創建RAM用戶,或創建的RAM用戶名與IdP中的用戶名不一致。

  • 修改RAM用戶名,使其與IdP中的用戶名保持一致。

  • 因RAM用戶名存在字符限制,只能包含英文字母、數字和特殊字符-_.,最多64個字符,所以IdP中的用戶名需要遵從RAM的這個字符限制。如果不滿足,請嘗試以下方法:

    • 修改IdP中的用戶名,使其符合RAM的字符要求。

    • 修改IdP單點登錄配置中唯一標識用戶的字段。您可以選擇E-mail等其他能唯一標識用戶且不帶有特殊字符的字段。

    • 在IdP單點登錄配置中設置用戶名映射的轉換規則。

SCIM用戶同步沒有成功。

查詢IdP中SCIM同步日志,查找同步失敗的原因做對應處理。

同一個用戶,IdP中的UPN和同步到RAM中的UPN不一致。可能的情況:

  • SCIM同步時選擇同步到RAM的用戶名使用的不是UPN。

  • SCIM同步配置了用戶名映射的轉換規則。

在IdP單點登錄配置中設置的用戶名映射轉換規則與SCIM同步中的配置的保持一致。

SAML響應中的Conditions包含的Audience元素的取值錯誤,尤其是其中的accountId錯誤。

在SAML響應中,找到Conditions中的AudienceRestriction元素,確認其包含Audience元素,且Audience取值為 https://signin.aliyun.com/${accountId}/saml/SSO${accountId}為阿里云賬號ID。

部分IdP有單獨的Audience URL配置項,請確認配置正確。

角色SSO時,報錯“NoPermission.NotTrusted”,怎么辦?

問題原因

解決方法

在SAML響應的AttributeStatement元素中,查找Attribute Namehttps://www.aliyun.com/SAML-Role/Attributes/Role的屬性值,該屬性值為實際請求扮演的RAM角色名稱和身份提供商名稱的拼接值。如果該RAM角色名稱和身份提供商名稱在阿里云上實際不存在,或該RAM角色的信任策略中配置的身份提供商與實際屬性值中的身份提供商不一致時會報該錯誤。更多信息,請參見角色SSO的SAML響應

角色SSO時,報錯“屬性錯誤Role”,怎么辦?

問題原因

解決方法

企業IdP中Name屬性值為https://www.aliyun.com/SAML-Role/Attributes/RoleAttribute元素未配置或者配置不正確。

在企業IdP中修改Attribute的配置。更多信息,請參見角色SSO的SAML響應

角色SSO時,報錯“InvalidParameter.RoleSessionName”,怎么辦?

問題原因

解決方法

企業IdP中Name屬性值為https://www.aliyun.com/SAML-Role/Attributes/RoleSessionNameAttribute元素配置不正確。

在企業IdP中檢查并修改Attribute元素配置。首先,檢查內容是否正確。其次,檢查Attribute取值格式是否正確,格式要求:長度不少于2個字符且不超過64個字符,只能包含英文字母、數字和特殊字符-_.@=。更多信息 ,請參見角色SSO的SAML響應

當前登錄的用戶在IdP側缺少RoleSessionName對應的屬性值。例如:IdP中指定Email為RoleSessionName,但登錄用戶在IdP沒有錄入Email信息。

確認IdP中指定RoleSessionName對應的屬性,設置登錄用戶的屬性值。

SSO登錄時,報錯“The assertion signature is invalid” 和“The assertion signature is invalid 或 Sigin token過期”,怎么辦?

問題原因

解決方法

企業IdP中使用的簽名公私鑰對發生了輪轉,但未更新在阿里云中配置的IdP元數據。

更新在阿里云中配置的IdP元數據。您可以從企業IdP下載最新的元數據文件,重新上傳到阿里云中。

企業IdP中使用的簽名公私鑰對發生了輪轉,且更新了在阿里云中配置的IdP元數據。但IdP在輪轉期間可能仍在使用舊的私鑰,而阿里云中配置的元數據只包含新的公鑰。

在阿里云中配置的IdP元數據應該同時包含新舊公鑰。配置包含兩個公鑰的元數據方法如下:

  • 創建新的證書(不要禁用或刪除舊證書)。

  • 下載新的元數據文件,確認元數據文件中是否包含新舊證書公鑰。

    • 部分IdP(例如:Azure AD)的元數據文件自動包含新舊證書。

    • 如果元數據文件未包含新舊證書公鑰,需要手動修改元數據文件添加證書。在RAM的SSO配置中下載舊的元數據文件,在元數據文件中的KeyDescriptor部分,復制X509Certificate原證書信息,粘貼到新的元數據文件中相同位置,然后保存。

    • RAM的SSO配置中上傳新的元數據文件。

    • 在IdP單點登錄配置中激活新的證書,禁用老的證書。

元數據文件較大導致上傳沒有成功。

請在上傳文件后稍等片刻,直至上傳完成。完成后,下載元數據文件檢查上傳內容是否完整。

自建IdP的metadata參數缺失或參數不正確,怎么辦?

問題原因

解決方法

metadata參數未按SAML 2.0協議配置。

參照SAML 2.0協議正確配置參數。更多信息,請參見SAML 2.0