一般错误

错误消息: CSIAC6274E 由于配置的策略,认证失败。

问题:联合用户收到错误信息"CSIAC6274E由于配置的策略导致身份验证失败" 在 IBMid 登录过程中,无法在目标 IBM 应用程序上登录。

原因: CSIAC6274E 指示用户的已配置策略问题。 公司的身份提供商IdP)管理员需要审查和配置用户属性的 SAML 声明,以满足此处的IBMid企业联盟支持要求https://www.ibm.com/docs/en/ief?topic=welcome-requirements-sso

解决方法要调试该问题,用户可以使用以下步骤在登录过程中捕获 SAMLResponse 值,方法是按照以下步骤在浏览器上生成 HAR 文件 https://help.salesforce.com/s/articleView?id=000385988&type=1

要调试该问题,用户可以使用以下步骤在登录过程中捕获 SAMLResponse 值,方法是按照以下步骤在浏览器上生成 HAR 文件 https://help.salesforce.com/s/articleView?id=000385988&type=1

在文本编辑器中打开捕获的 HAR 文件,并搜索 "SAMLResponse" 及其值。 使用 Base64 工具对响应值进行解码。

查看 SAMLResponse 随附的用户属性。 示例:

js
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
                Destination="https://login.ibm.com/saml/sps/saml20sp/saml20/login" ... >
       ....
        <saml:AttributeStatement>
            <saml:Attribute Name="country"
                            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                <saml:AttributeValue xsi:type="xs:string">ca</saml:AttributeValue>
            </saml:Attribute>
            <saml:Attribute Name="emailAddress"
                            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                <saml:AttributeValue xsi:type="xs:string">user@company_email</saml:AttributeValue>
            </saml:Attribute>
            <saml:Attribute Name="firstName"
                            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                <saml:AttributeValue xsi:type="xs:string">FirstName</saml:AttributeValue>
            </saml:Attribute>
            <saml:Attribute Name="lastName"
                            NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                <saml:AttributeValue xsi:type="xs:string">LastName</saml:AttributeValue>
            </saml:Attribute>
            .....
         </saml:AttributeStatement>
    </saml:Assertion>
</samlp:Response>
确保将必需的 SAML 属性配置为:
  • A) NameID 格式为 emailAddress (您组织的身份提供者 (IdP) 必须设置为等于组织用户电子邮件地址的有效电子邮件地址)。
  • B) 需要具有以下精确名称的属性 (区分大小写):
    • firstName
    • lastName
    • emailAddress
    • 国家/地区
    注: 对于国家或地区,期望按 ISO Alpha-2 标准接收 2 个字符。 (例如: US 表示美国, AU 表示澳大利亚, GB 表示英国)。

错误消息: CSIAC4572E 身份提供者认证失败。

问题: 联合用户正在获取错误 “CSIAC4572E 身份提供者认证失败"。 在 IBMid 登录过程中,无法在目标 IBM 应用程序上登录。

原因: 认证响应消息中包含的 SAML 状态指示认证在身份提供者处失败。

解决方法: 检查发出响应消息的身份提供者上的跟踪日志,以了解认证操作失败的原因。

错误消息: CSIAC4566E 无法验证或解密 partnerProvider 发出的断言。

问题:联合用户收到错误信息"CSIAC4566E由partnerProvider发出的断言无法验证或解密" 在 IBMid 登录过程中,无法在目标 IBM 应用程序上登录。

原因: 无法验证或解密断言。 通常,由于证书无效或已到期,导致 IBM或身份提供者 (IdP) 端上的 SAML SSO 签名或加密证书不匹配。

解决方法: 确保为发出断言的提供程序正确配置了验证密钥,解密密钥和解密参数。 跟踪日志将指示哪个操作失败,验证或解密。 验证 IBM 和身份提供者 (IdP) 使用的 SAML SSO 签名或加密证书。

错误消息: CSIAQ0287E 系统无法处理您的请求,因为事务已空闲太久

问题: 用户迂到错误 “CSIAQ0287E 系统无法处理您的请求,因为事务空闲时间过长"。 在 IBMid 登录过程中,无法在目标 IBM 应用程序上登录。

原因: 此错误消息通常由下列其中一项导致:
  • 目标 URL 无效。
  • 登录网页空闲时间延长。
  • 存在 IBMid 用户正在访问的已保存书签,该书签具有到期的 cookie

解决方法: 要纠正此错误信息,请尝试使用有效的应用程序 URL ,而不是登录网页上显示的应用程序。 请尝试在新的浏览器会话中使用 IBMid 账户进行身份验证。

错误消息: CSIAC4568E 无法验证 SAML 消息签名。

问题: 用户收到错误 “CSIAC4568E 无法验证 SAML 消息签名"。 在 IBMid 登录过程中,无法在目标 IBM 应用程序上登录。

原因: 无法验证 SAML 消息签名。 当 IBMid 或 App ID 无法验证 SAML 发送的签名时,会发生此错误。

解决方法: 确保为发送消息的提供者正确配置了验证密钥。 在 App ID中,验证配置中是否已将 "入站签名" 设置为 "无"。

错误消息: CSIAC5140E 您无权访问此受保护资源。

问题: 用户正在获取错误 “CSIAC5140E 您无权访问此受保护资源。" 在 IBMid 登录过程中,无法在目标 IBM 应用程序上登录。

原因: 此资源只能由授权用户访问。

解决方法: 确保正确配置并保护授权端点。

错误消息: CSIAC6276E 用户帐户已禁用。

问题: 用户收到错误: “CSIAC6276E 用户帐户已禁用"。 在 IBMid 登录过程中,无法在目标 IBM 应用程序上登录。

原因: 已禁用现有 IBMid 用户帐户。

解决方法:请通过https://www.ibm.com/docs/en/ibmid?topic=welcome-contact-support 联系IBMid全球服务台支持团队寻求帮助。