Résolution des problèmes de connexion unique

Cette rubrique explique comment résoudre les problèmes de connexion unique les plus courants.

Quand l’option « SSL Client Cert Required » (Certificat de client SSL obligatoire) est activée, l’utilisateur ne peut pas s’authentifier à l’aide de la fonctionnalité de connexion unique SAML.

Dans le profil utilisateur dans MOVEit Transfer, si SSL Client Cert Required (Certificat de client SSL obligatoire) est défini sur Yes (Oui), l’utilisateur n’est pas authentifié. Vous devez définir cette option sur No (Non). (Notez que ce type d’échec de tentative de connexion n’est pas consigné dans le journal d’audit.) Pour utiliser un certificat client, vous devez configurer sa prise en charge par le fournisseur d’identité.

Erreur d’authentification sur la page de connexion MOVEit

En cas d’échec de l’authentification par connexion unique, l’utilisateur peut voir s’afficher la notification suivante sur la page de connexion MOVEit Transfer :

Unable to authenticate with Identity Provider or not allowed to sign on from this location. (Impossible de s’authentifier auprès du fournisseur d’identité ou non autorisé à se connecter depuis cet emplacement.)

Suivez le processus ci-dessous pour identifier et résoudre le problème :

1. Confirmez vos paramètres. Vérifiez les points suivants :
   • Vous avez activé une interface consommateur d’assertion qui est compatible avec votre fournisseur d’identité.
   • Votre fournisseur d’identité utilise la version la plus récente de votre fichier de métadonnées MOVEit Transfer, et votre serveur MOVEit utilise la version la plus récente du fichier de métadonnées du fournisseur d’identité.
   • Le paramètre Skew Allowance (Tolérance de différence de temps) du fournisseur d’identité MOVEit est défini sur une valeur suffisamment élevée.
   • Le fournisseur d’identité MOVEit est paramétré pour autoriser l’ajout de nouveaux utilisateurs lors de leur authentification.
   • Les paramètres de groupe et d’utilisateur du fournisseur d’identité MOVEit sont configurés correctement.

   Pour plus d’informations sur les paramètres MOVEit, reportez-vous à la page User Authentication - Single Signon (Authentification d’utilisateur - Connexion unique). Pour plus d’informations sur les paramètres propres au fournisseur d’identité, reportez-vous à la documentation de votre fournisseur d’identité.

   Quand tous les paramètres sont correctement définis, vous pouvez poursuivre.

2. Examinez le fichier DMZ_Web.log situé dans <DMZ_Install_Dir>\Logs (par exemple, C:\MOVEitDMZ\Logs). En fonction de vos paramètres définis pour les journaux de diagnostic, l’erreur peut être consignée dans ces fichiers journaux. Pour vérifier vos paramètres de journalisation actuels, accédez à Start Menu > Programs > MOVEit Transfer > MOVEit Transfer Config > Status Tab (Menu Démarrer > Programmes > MOVEit Transfer > Configuration > Onglet Statut). Pour afficher les problèmes liés à l’authentification, le paramètre « User Error » (Erreur utilisateur) est suffisant. Pour afficher les informations de débogage complètes, utilisez le paramètre « All Debug » (Toutes les informations de débogage).

   Confirmez les paramètres de journalisation.

3. Examinez les dernières entrées de journal. Si vous avez modifié les paramètres de journalisation à l’étape précédente, demandez à l’utilisateur d’effectuer une nouvelle tentative de connexion pour pouvoir examiner les entrées de journal.

   Erreurs possibles :

   Error in authentication response from Identity Provider (Erreur de réponse d’authentification du fournisseur d’identité)

   L’erreur suivante indique un problème provenant de votre fournisseur d’identité :

   BindingHandler.AuthenticateSAMLResponse: Authentication not successful: Code:urn:oasis:names:tc:SAML:2.0:status:Responder
SILUser.ExecuteAuthenticators: User '' failed to authenticate with authenticator: SAML Assertion Authenticator

   En outre, certains fournisseurs d’identité consignent les erreurs dans le journal des événements Windows ou dans leurs propres fichiers journaux. Si vous voyez cette erreur dans les fichiers journaux MOVEit, examinez le journal des événements Windows ou les autres journaux enregistrés sur la machine de votre fournisseur d’identité. Recherchez d’éventuelles entrées indiquant la cause de l’échec de l’authentification par le fournisseur d’identité.

   Error in MOVEit Single Signon configuration: authentication request (Erreur de configuration de la connexion unique MOVEit : demande d’authentification)

   L’erreur suivante indique un problème provenant de votre serveur MOVEit Transfer :

   Authentication not successful: Code:urn:oasis:names:tc:SAML:2.0:status:Requester

   Pour confirmer vos configurations, reportez-vous à la page User Authentication - Single Signon (Authentification d’utilisateur - Connexion unique). Si vous avez besoin d’aide, contactez l’assistance MOVEit.

   Error in MOVEit Single Signon configuration: Skew Allowance (Erreur de configuration de la connexion unique MOVEit : Tolérance de différence de temps)

   L’erreur suivante indique un problème lié au paramètre « Skew Allowance » (Tolérance de différence de temps) :

   SAMLAuthenticator.AllowedByConditions: Current time (2013-12-18T20:23:01.3936301Z) is outside
of assertion valid time range (2013-12-18T20:23:01.756Z to 2013-12-18T21:23:01.756Z) with skew
allowance 00:00:00 SILUser.ExecuteAuthenticators: User 'user1' failed to authenticate with
authenticator: SAML Assertion Authenticator

   Pour résoudre ce problème, modifiez le paramètre Skew Allowance (Tolérance de différence de temps) du fournisseur d’identité MOVEit de manière appropriée.