Probleme mit Single Sign-On (SSO) beheben

In diesem Thema wird der Fehlerbehebungsprozess für häufig auftretende Single Sign-On-Fehler beschrieben.

Wenn „SSL Client Cert Required“ (SSL-Client-Zert. erforderlich) aktiviert ist, kann sich der Benutzer nicht mit SAML Single Sign-On authentifizieren.

Der Benutzer wird nicht authentifiziert, wenn im Benutzerprofil in MOVEit Transfer die Option SSL Client Cert Required (SSL-Client-Zert. erforderlich) auf Yes (Ja) festgelegt wurde. Sie müssen diese Option auf No (Nein) festlegen. (Beachten Sie, dass diese Art des fehlgeschlagenen Anmeldeversuchs nicht im Überwachungsprotokoll protokolliert wird.) Wenn Sie ein Clientzertifikat verwenden möchten, müssen Sie das Zertifikat mit Identitätsanbieter verarbeiten.

Authentifizierungsfehler auf der MOVEit-Anmeldeseite

Wenn die Single Sign-On-Authentifizierung fehlschlägt, wird die folgende Meldung auf der MOVEit Transfer-Anmeldeseite angezeigt:

Authentifizierung bei Identity Provider schlug fehl oder Anmeldung von diesem Ort aus ist unzulässig.

So bewerten und beheben Sie das Problem:

1. Bestätigen Sie die Einstellungen: Stellen Sie sicher, dass
   • eine Assertion-Kundenschnittstelle aktiviert ist, die mit Ihrem Identitätsanbieter kompatibel ist.
   • Ihr Identitätsanbieter die neueste Version der MOVEit Transfer-Metadatendatei verwendet. Stellen Sie außerdem sicher, dass Ihr MOVEit-Server die neueste Version der Metadatendatei des Identitätsanbieters verwendet.
   • die Einstellungen für den MOVEit-Identitätsanbieter über einen ausreichenden zulässigen Zeitversatz verfügen.
   • die Einstellungen für den MOVEit-Identitätsanbieter die Erstellung von neuen Benutzern erlaubt, wenn Sie sich mit einem neuen Benutzer anzumelden versuchen.
   • die Benutzer- und Gruppeneinstellungen für den MOVEit-Identitätsanbieter richtig konfiguriert sind.

   Informationen zu den MOVEit-Einstellungen finden Sie unter Benutzerauthentifizierung – Single Sign-On. Informationen zu Identity-Provider-spezifischen Einstellungen finden Sie ihn der Dokumentation zum Identity Provider.

   Setzen Sie die Arbeit fort, wenn alle Einstellungen korrekt sind.

2. Sehen Sie im DMZ_Web.log unter <DMZ_Install_Dir>\Logs nach (Beispiel: C:\MOVEitDMZ\Logs). Abhängig von den Diagnoseprotokolleinstellungen finden Sie den Fehler möglicherweise in den Protokollen. Zum Überprüfen der aktuellen Protokolleinstellungen wechseln Sie zu Start Menu > Programs > MOVEit Transfer > MOVEit Transfer Config > Status Tab (Startmenü > Programme > MOVEit Transfer > MOVEit Transfer-Konfiguration > Registerkarte „Status“). Zum Anzeigen von Authentifizierungsproblemen reicht die Einstellung „User Error“ (Benutzerfehler) aus. Um vollständige Debug-Informationen zu erhalten, verwenden Sie „All Debug“ (Alle Debug-Informationen).

   Bestätigen Sie die Protokolleinstellungen.

3. Sehen Sie die neuesten Protokolleinträge durch. Wenn Sie die Protokolleinstellungen im vorhergehenden Schritt geändert haben, bitten Sie den Benutzer, sich erneut anzumelden, damit Sie die Protokollinformationen sehen.

   Es können unter anderem folgende Protokollfehler auftreten:

   Fehler bei der Authentifizierungsantwort des Identitätsanbieters

   Der folgende Fehler deutet auf ein Problem hin, das von Ihrem Identitätsanbieter verursacht wird:

   BindingHandler.AuthenticateSAMLResponse: Authentication not successful: Code:urn:oasis:names:tc:SAML:2.0:status:Responder
SILUser.ExecuteAuthenticators: User '' failed to authenticate with authenticator: SAML Assertion Authenticator

   Außerdem geben manche Identitätsanbieter Fehler im Windows-Fehlerprotokoll oder in ihren eigenen Protokollen an. Wenn Sie diesen Fehler in den MOVEit-Protokollen finden, kehren Sie zu Ihrem Identity Provider-Gerät zurück und prüfen Sie, ob Windows-Ereignisprotokolleinträge oder Protokolle vorhanden sind, die angeben, weshalb der Identitätsanbieter die Authentifizierung nicht ausführen konnte.

   Fehler in der MOVEit Single Sign-On-Konfiguration: Authentifizierungsanforderung

   Der folgende Fehler deutet auf ein Problem hin, das von Ihrem MOVEit Transfer-Server verursacht wird.

   Authentication not successful: Code:urn:oasis:names:tc:SAML:2.0:status:Requester

   Informationen zum Bestätigen der Konfiguration finden Sie unter Benutzerauthentifizierung – Single Sign-On. Weitere hilfreiche Informationen finden Sie auf dem MOVEit-Kundenportal.

   Fehler in der MOVEit Single Sign-On-Konfiguration: Zulässiger Zeitversatz

   Der folgenden Fehler deutet auf ein Problem mit der Einstellung „Skew Allowance“ (Zusätzlicher Zeitversatz) hin:

   SAMLAuthenticator.AllowedByConditions: Current time (2013-12-18T20:23:01.3936301Z) is outside
of assertion valid time range (2013-12-18T20:23:01.756Z to 2013-12-18T21:23:01.756Z) with skew
allowance 00:00:00 SILUser.ExecuteAuthenticators: User 'user1' failed to authenticate with
authenticator: SAML Assertion Authenticator

   Überprüfen Sie die Einstellung „Skew Allowance“ (Zulässiger Zeitversatz) des MOVEit Identity Providers erneut und passen Sie den Wert an, um sicherzustellen, dass dieser Fehler nicht mehr auftritt.