Errores generales

Mensaje de error: CSIAC6274E La autenticación ha fallado debido a una política configurada.

Problema: Los usuarios federados obtienen el error "CSIAC6274E La autenticación falló debido a una política configurada" durante el proceso de inicio de sesión de IBMid y no pueden aterrizar en la aplicación IBM de destino.

Causa: CSIAC6274E indica un problema de política configurado del usuario. El administrador del proveedor de identidadesIdP de la empresa debe revisar y configurar la reclamación SAML de atributos de usuario para cumplir el requisito de compatibilidad con IBMid Enterprise Federation que se encuentra aquí: https://www.ibm.com/docs/en/ief?topic=welcome-requirements-sso

Resolución: Para depurar el problema, el usuario puede utilizar los siguientes pasos para capturar el valor SAMLResponse durante el proceso de inicio de sesión siguiendo estos pasos para generar un archivo HAR en su navegador: https://help.salesforce.com/s/articleView?id=000385988&type=1

Para depurar el problema, el usuario puede utilizar los siguientes pasos para capturar el valor SAMLResponse durante el proceso de inicio de sesión siguiendo estos pasos para generar un archivo HAR en su navegador: https://help.salesforce.com/s/articleView?id=000385988&type=1

Abra el archivo HAR capturado en un editor de texto y busque "SAMLResponse" y su valor. Descodifique el valor de respuesta con una herramienta Base64 .

Revise los atributos de usuario que se incluyen con SAMLResponse. Ejemplo:

js
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
                Destination="https://login.ibm.com/saml/sps/saml20sp/saml20/login" ... >
       ....
        <saml:AttributeStatement>
            <saml:Attribute Name="country"
                            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                <saml:AttributeValue xsi:type="xs:string">ca</saml:AttributeValue>
            </saml:Attribute>
            <saml:Attribute Name="emailAddress"
                            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                <saml:AttributeValue xsi:type="xs:string">user@company_email</saml:AttributeValue>
            </saml:Attribute>
            <saml:Attribute Name="firstName"
                            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                <saml:AttributeValue xsi:type="xs:string">FirstName</saml:AttributeValue>
            </saml:Attribute>
            <saml:Attribute Name="lastName"
                            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                <saml:AttributeValue xsi:type="xs:string">LastName</saml:AttributeValue>
            </saml:Attribute>
            .....
         </saml:AttributeStatement>
    </saml:Assertion>
</samlp:Response>
Asegúrese de que los atributos SAML necesarios estén configurados como:
  • A) NameID Formato como emailAddress (el proveedor de identidad de su organización (IdP) debe establecerse en igual a la dirección de correo electrónico válida para la dirección de correo electrónico de los usuarios de la organización).
  • B) Requerir atributos con el nombre exacto como se indica a continuación (Sensible a mayúsculas y minúsculas):
    • firstName
    • lastName
    • emailAddress
    • país
    Nota: Para el país, la expectativa es recibir 2 caracteres por ISO Alpha-2 estándar. (Por ejemplo: US para Estados Unidos, AU para Australia, GB para Reino Unido).

Mensaje de error: CSIAC4572E La autenticación ha fallado en el proveedor de identidad.

Problema: Los usuarios federados están obteniendo el error “CSIAC4572E La autenticación ha fallado en el proveedor de identidad". durante el proceso de inicio de sesión de IBMid y no pueden aterrizar en la aplicación IBM de destino.

Causa: El estado de SAML incluido en el mensaje de respuesta de autenticación indica que la autenticación ha fallado en el proveedor de identidad.

Resolución: Examine los registros de rastreo en el proveedor de identidades que ha emitido el mensaje de respuesta para ver por qué ha fallado la operación de autenticación.

Mensaje de error: CSIAC4566E La aserción emitida por partnerProvider no se ha podido validar ni descifrar.

Problema: Los usuarios federados obtienen el error "CSIAC4566E La aserción emitida por partnerProvider no se ha podido validar ni descifrar." durante el proceso de inicio de sesión de IBMid y no pueden aterrizar en la aplicación IBM de destino.

Causa: La aserción no se ha podido validar ni descifrar. Normalmente, hay una discrepancia en la firma SSO de SAML o en el certificado de cifrado en IBMo en el proveedor de identidad (IdP) debido a certificados no válidos o caducados.

Resolución: Asegúrese de que las claves de validación, las claves de descifrado y los parámetros de descifrado se hayan configurado correctamente para el proveedor que ha emitido la aserción. El registro de rastreo indicará qué operación ha fallado, validación o descifrado. Valide los certificados de firma o cifrado SSO de SAML utilizados por IBM y su proveedor de identidad (IdP).

Mensaje de error: CSIAQ0287E El sistema no puede procesar la solicitud porque la transacción ha estado desocupada durante demasiado tiempo

Problema: Los usuarios están obteniendo el error “CSIAQ0287E El sistema no puede procesar la solicitud porque la transacción ha estado desocupada durante demasiado tiempo". durante el proceso de inicio de sesión de IBMid y no pueden aterrizar en la aplicación IBM de destino.

Causa: Este mensaje de error suele ser el resultado de uno de los siguientes:
  • El destino URL no es válido.
  • La página web de inicio de sesión está desocupada durante un tiempo prolongado.
  • Hay un marcador guardado al que el usuario IBMid está accediendo que tiene cookies caducadas

Resolución: Para corregir este mensaje de error, intente utilizar la aplicación válida URL en lugar de la que aparece en la página web de inicio de sesión. Intenta autenticarte con tu cuenta de IBMid en una nueva sesión del navegador.

Mensaje de error: CSIAC4568E No se ha podido validar la firma del mensaje SAML.

Problema: Los usuarios están obteniendo el error “CSIAC4568E La firma del mensaje SAML no se ha podido validar". durante el proceso de inicio de sesión de IBMid y no pueden aterrizar en la aplicación IBM de destino.

Causa: No se ha podido validar la firma del mensaje SAML. Este error se produce cuando IBMid o App ID no puede verificar la firma enviada por SAML.

Resolución: Asegúrese de que la clave de validación se haya configurado correctamente para el proveedor que ha enviado el mensaje. En App ID, verifique que tiene la firma de entrada establecida en Ninguno en la configuración.

Mensaje de error: CSIAC5140E No tiene autorización para acceder a este recurso protegido.

Problema: Los usuarios reciben el error “CSIAC5140E No tiene autorización para acceder a este recurso protegido." durante el proceso de inicio de sesión de IBMid y no pueden aterrizar en la aplicación IBM de destino.

Causa: Este recurso sólo puede ser accedido por un usuario autorizado.

Resolución: Asegúrese de que el punto final de autorización esté configurado y protegido correctamente.

Mensaje de error: CSIAC6276E La cuenta de usuario está inhabilitada.

Problema: Los usuarios obtienen un error: “CSIAC6276E La cuenta de usuario está inhabilitada". durante el proceso de inicio de sesión de IBMid y no pueden aterrizar en la aplicación IBM de destino.

Causa: La cuenta de usuario IBMid existente está inhabilitada.

Resolución:Póngase en contacto con el equipo de soporte de IBMid Worldwide Helpdesk para obtener ayuda a través de: https://www.ibm.com/docs/en/ibmid?topic=welcome-contact-support