Errori generali

Messaggio di errore: CSIAC6274E autenticazione non riuscita a causa di un criterio configurato.

Problema: gli utenti federati ricevono l'errore "CSIAC6274E Autenticazione non riuscita a causa di un criterio configurato" durante il processo di accesso IBMid e non è possibile accedere all'applicazione IBM di destinazione.

Causa: CSIAC6274E indica un problema di politica configurato dell'utente. L'amministratore dell'identity providerIdP) dell'azienda deve rivedere e configurare la rivendicazione SAML degli attributi dell'utente per soddisfare il requisito di supporto IBMid Enterprise Federation che si trova qui: https://www.ibm.com/docs/en/ief?topic=welcome-requirements-sso

Risoluzione: Per eseguire il debug del problema, l'utente può utilizzare i seguenti passaggi per catturare il valore SAMLResponse durante il processo di login seguendo questi passaggi per generare un file HAR sul proprio browser: https://help.salesforce.com/s/articleView?id=000385988&type=1

Per eseguire il debug del problema, l'utente può utilizzare i seguenti passaggi per catturare il valore SAMLResponse durante il processo di login, seguendo questi passaggi per generare un file HAR sul proprio browser: https://help.salesforce.com/s/articleView?id=000385988&type=1

Aprire il file HAR acquisito in un editor di testo e cercare "SAMLResponse" e il relativo valore. Decodificare il valore di risposta con uno strumento Base64 .

Esaminare gli attributi utente inclusi con SAMLResponse. Esempio:

js
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
                Destination="https://login.ibm.com/saml/sps/saml20sp/saml20/login" ... >
       ....
        <saml:AttributeStatement>
            <saml:Attribute Name="country"
                            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                <saml:AttributeValue xsi:type="xs:string">ca</saml:AttributeValue>
            </saml:Attribute>
            <saml:Attribute Name="emailAddress"
                            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                <saml:AttributeValue xsi:type="xs:string">user@company_email</saml:AttributeValue>
            </saml:Attribute>
            <saml:Attribute Name="firstName"
                            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                <saml:AttributeValue xsi:type="xs:string">FirstName</saml:AttributeValue>
            </saml:Attribute>
            <saml:Attribute Name="lastName"
                            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                <saml:AttributeValue xsi:type="xs:string">LastName</saml:AttributeValue>
            </saml:Attribute>
            .....
         </saml:AttributeStatement>
    </saml:Assertion>
</samlp:Response>
Accertarsi che gli attributi SAML richiesti siano configurati come:
  • A) NameID Format as emailAddress (il provider di identità dell'organizzazione (IdP) deve essere impostato in modo da essere uguale all'indirizzo email valido per l'indirizzo email degli utenti dell'organizzazione).
  • B) Richiedi attributi con il nome esatto come segue (Sensibile al maiuscolo / minuscolo):
    • firstName
    • lastName
    • emailAddress
    • Paese
    Nota: per il paese, si prevede di ricevere 2 caratteri per standard ISO Alpha-2 . (Ad esempio: US per Stati Uniti, AU per Australia, GB per Regno Unito).

Messaggio di errore: CSIAC4572E autenticazione non riuscita sul provider di identità.

Problema: gli utenti federati stanno ricevendo l'errore “CSIAC4572E Autenticazione non riuscita sul provider di identità". durante il processo di accesso IBMid e non è possibile accedere all'applicazione IBM di destinazione.

Causa: lo stato SAML incluso nel messaggio di risposta di autenticazione indica che l'autenticazione non è riuscita sul provider di identità.

Risoluzione: esaminare i log di traccia sul provider di identità che ha emesso il messaggio di risposta per individuare il motivo per cui l'operazione di autenticazione non è riuscita.

Messaggio di errore: CSIAC4566E Non è stato possibile convalidare o decodificare l'asserzione emessa da partnerProvider .

Problema: gli utenti federati ricevono l'errore "CSIAC4566E Non è stato possibile convalidare o decifrare l'asserzione emessa da partnerProvider " durante il processo di accesso IBMid e non è possibile accedere all'applicazione IBM di destinazione.

Causa: non è stato possibile convalidare o decodificare l'asserzione. Di solito, c'è una mancata corrispondenza sul lato della firma SSO SAML o del certificato di crittografia su IBMo sul lato del provider di identità (IdP) a causa di certificati non validi o scaduti.

Risoluzione: verificare che le chiavi di convalida, le chiavi di decodifica e i parametri di decodifica siano configurati correttamente per il fornitore che ha emesso l'asserzione. Il log di traccia indicherà l'operazione non riuscita, la convalida o la decodifica. Convalida i certificati di firma o codifica SSO SAML utilizzati da IBM e dal tuo provider di identità (IdP).

Messaggio di errore: CSIAQ0287E Il sistema non può elaborare la richiesta perché la transazione è rimasta inattiva per troppo tempo

Problema: gli utenti stanno ricevendo l'errore “CSIAQ0287E Il sistema non può elaborare la richiesta perché la transazione è rimasta inattiva per troppo tempo". durante il processo di accesso IBMid e non è possibile accedere all'applicazione IBM di destinazione.

Causa: questo messaggio di errore di solito deriva da uno dei seguenti:
  • La destinazione URL non è valida.
  • La pagina Web di accesso è inattiva per un periodo di tempo prolungato.
  • È presente un segnalibro salvato a cui accede l'utente IBMid a cui sono scaduti i cookie

Risoluzione: Per correggere questo messaggio di errore, provate a utilizzare l'applicazione valida URL invece di quella visualizzata nella pagina web di accesso. Provate ad autenticarvi con il vostro account IBMid in una nuova sessione del browser.

Messaggio di errore: CSIAC4568E Non è stato possibile convalidare la firma del messaggio SAML.

Problema: gli utenti stanno ricevendo l'errore “CSIAC4568E Impossibile convalidare la firma del messaggio SAML". durante il processo di accesso IBMid e non è possibile accedere all'applicazione IBM di destinazione.

Causa : non è stato possibile convalidare la firma del messaggio SAML. Questo errore si verifica quando IBMid o App ID non possono verificare la firma inviata da SAML.

Risoluzione: verificare che la chiave di convalida sia configurata correttamente per il provider che ha inviato il messaggio. In App ID, verifica di avere la firma in entrata impostata su Nessuno nella tua configurazione.

Messaggio di errore: CSIAC5140E non si è autorizzati ad accedere a questa risorsa protetta.

Problema: gli utenti ricevono l'errore “CSIAC5140E Non si è autorizzati ad accedere a questa risorsa protetta." durante il processo di accesso IBMid e non è possibile accedere all'applicazione IBM di destinazione.

Causa: questa risorsa può essere accessibile solo da un utente autorizzato.

Risoluzione: assicurarsi che l'endpoint di autorizzazione sia configurato e protetto correttamente.

Messaggio di errore: CSIAC6276E L'account utente è disabilitato.

Problema: gli utenti ricevono un errore: “CSIAC6276E L'account utente è disabilitato". durante il processo di accesso IBMid e non è possibile accedere all'applicazione IBM di destinazione.

Causa L'account utente IBMid esistente è disabilitato.

Risoluzione:Contattare il team di assistenza IBMid Worldwide Helpdesk per assistenza tramite: https://www.ibm.com/docs/en/ibmid?topic=welcome-contact-support