Probleme beim SSO-Login
Dieser Leitfaden richtet sich sowohl an Administratoren des LMS als auch an den imc-Support und das Incident Management, um mögliche Ursachen für SSO-Anmeldeprobleme zu identifizieren.
1. Fragen an den Kunden/Administrator
Ist Ihnen eine Änderung des IAM/IdP-Dienstes bekannt, und wenn ja, was wurde geändert?
Prüfen Sie, ob der IAM/IdP verfügbar ist und bei anderen Systemen funktioniert.
Prüfen Sie, ob es alle Benutzer oder nur einige/einzelne Benutzer betrifft.
Prüfen Sie, ob die betroffenen Benutzer korrekt im IAM-System angelegt wurden.
Prüfen Sie, ob der Benutzer über die erforderlichen Berechtigungen verfügt und ob die richtige Gruppe in der IAM-Policy (Identity and Access Management) eingetragen ist.
Prüfen Sie, ob das Konto des Nutzers gesperrt ist; wenn ja, entsperren Sie es über das IAM-System.
Stellen Sie der IMC einen SAML-Testbenutzer zur Verfügung.
2. Troubleshooting Tools
Browser-Entwickler-Tools: Nützlich zur Analyse von SAML-Tokens und des Netzwerkverkehrs
SAML Tracer: Eine Browsererweiterung zur Überprüfung von SAML-Anfragen und -Antworten.
3. IMC-Prüfungen
A. Zertifikatsprobleme
Überprüfen Sie, ob die SSL/TLS-Zertifikate des Identity Providers (IdP) und des Service Providers (SP) aktuell sind.
Stellen Sie sicher, dass die Zertifikate ordnungsgemäß signiert sind und den Sicherheitsanforderungen entsprechen.
B. Fehlkonfiguration
SP- und IdP-Metadaten - Stellen Sie sicher, dass die Metadaten des Service Providers und des Identity Providers richtig konfiguriert und synchronisiert sind.
Einschränkung der Zielgruppe: Stellen Sie sicher, dass der Zielgruppenwert in der SAML-Antwort mit den Erwartungen des Dienstanbieters übereinstimmt.
C. LMS-Konfiguration
Konfiguration → SAML, Open ID, Crowd SSO
Mandanten → SAML-Entity-ID (Systemkontext beachten)
4. Häufige Fehler und Vorschläge
Fehlercode | Beschreibung | Lösung |
---|---|---|
401 Unauthorized | Zugriff verweigert, möglicherweise aufgrund falscher Anmeldedaten. | Überprüfen Sie die Anmeldedaten und Berechtigungen. |
403 Forbidden | Konto oder Gruppe hat keine Berechtigung. | Passen Sie die Zugriffseinstellungen an. |
500 Internal Server Error | Serverfehler, der oft auf ein Konfigurationsproblem hinweist. | Überprüfen Sie die Server- und Netzwerkeinstellungen. |
SAML Assertion Error | Ungültiges oder fehlendes SAML-Token. | Überprüfen Sie die SAML-Konfiguration. |
Clock Skew Error | Zeitabweichung zwischen den Servern. | Prüfen Sie den NTP-Server und synchronisieren Sie die Zeit. |
5. Protokoll-Analyse
IDM- und ILS-Protokolle: Diese zeigen oft an, ob das Problem vom Identity Provider ausgeht, wie z.B. bei fehlenden Berechtigungen oder Zertifikatsproblemen.
Protokolle der Browser-Konsole: Bei Front-End-SSO kann die Browser-Konsole helfen, JavaScript- oder Netzwerkausnahmen zu erkennen.
SAML Tracer: Eine Browsererweiterung zur Überprüfung von SAML-Anfragen und -Antworten.