Probleme beim SSO-Login
Dieser Leitfaden richtet sich sowohl an Administratoren des LMS als auch an den imc-Support und das Incident Management, um mögliche Ursachen für SSO-Anmeldeprobleme zu identifizieren.
1. Fragen an den Kunden/Administrator
Ist Ihnen eine Änderung des IAM/IdP-Dienstes bekannt, und wenn ja, was wurde geändert?
Prüfen Sie, ob der IAM/IdP verfügbar ist und bei anderen Systemen funktioniert.
Prüfen Sie, ob es alle Benutzer oder nur einige/einzelne Benutzer betrifft.
Prüfen Sie, ob die betroffenen Benutzer korrekt im IAM-System angelegt wurden.
Prüfen Sie, ob der Benutzer über die erforderlichen Berechtigungen verfügt und ob die richtige Gruppe in der IAM-Policy (Identity and Access Management) eingetragen ist.
Prüfen Sie, ob das Konto des Nutzers gesperrt ist; wenn ja, entsperren Sie es über das IAM-System.
Stellen Sie der IMC einen SAML-Testbenutzer zur Verfügung.
2. Troubleshooting Tools
Browser-Entwickler-Tools: Nützlich zur Analyse von SAML-Tokens und des Netzwerkverkehrs
Öffnen Sie Google Chrome.
Rufen Sie in Chrome die betreffende Webseite auf.
Wählen Sie im Chrome-Menü “Weitere Tools > Entwicklertools”.
Wählen Sie den Tab “Network” an.
Markieren Sie im Tab “Network” die Checkbox “Preserve log”.
Zeichnen Sie das Protokoll auf, indem Sie den roten Kreis oben links im Tab “Network” anklicken.
Aktualisieren Sie die Seite und erlauben Sie Chrome, die Browser-Website-Interaktion aufzuzeichnen.
Sobald die Seite geladen ist, wählen Sie den Tab “Console” an. Klicken Sie mit der rechten Maustaste auf das Konsolenfeld, wählen Sie im Kontextmenü die Option “Save as…” aus und benennen Sie die Datei nach Ihren Wünschen.
Wechseln Sie zurück zum Tab “Network” und klicken Sie mit der rechten Maustaste auf das Element. Wählen Sie in Kontextmenü die Option "Save HAR with content" aus.
Laden Sie die HAR- und Protokolldateien in das entsprechende DESK-Ticket hoch.
Öffnen Sie Firefox.
Rufen Sie in Firefox die betreffende Webseite auf.
Wählen Sie im Firefox-Menü “Weitere Werkzeuge > Werkzeuge für Web-Entwickler” und rufen Sie den Tab “Netzwerkanalyse” auf.
Wählen Sie in der Mitte des Tabs “Netzwerkanalyse” die Option “Aktualisieren” aus.
Aktualisieren Sie die Seite und erlauben Sie Firefox, die Browser-Website-Interaktion aufzuzeichnen.
Sobald die Seite geladen ist, klicken Sie mit der rechten Maustaste in den Tab und wählen Sie im Kontextmenü die Option “Alles als HAR speichern”.
Wählen Sie den Tab “Konsole” an und klicken Sie mit der rechten Maustaste auf das Konsolenfeld. Wählen Sie im Kontextmenü die Option “Alle Nachrichten kopieren” aus.
Kopieren Sie die Protokoll-Meldungen in Ihren bevorzugten Texteditor.
Laden Sie die HAR- und Protokolldateien in das entsprechende DESK-Ticket hoch.
SAML Tracer: Eine Browsererweiterung zur Überprüfung von SAML-Anfragen und -Antworten.
Verwenden Sie die folgenden Links, um das SAML-Tracer-Plug-in für Ihren jeweiligen Browser herunterzuladen und zu installieren:
Mozilla Firefox: SAML-tracer – Firefox
Google Chrome: SAML-tracer - Chrome
Sobald das Plug-in hinzugefügt wurde, klicken Sie auf das neu hinzugefügte “SAML Tracer”-Icon im Add-in-Menü ihres entsprechenden Browsers oben rechts. dadurch wird das Dialogfeld “SAML Tracer” geöffnet.
Versuchen Sie, sich mit den Anmeldedaten beim LMS anzumelden.
Die unten aufgeführten Details werden aufgezeichnet und im Dialogfeld „SAML Tracer“ angezeigt. Beachten Sie die gelegentlichen SAML-Tags auf der rechten Seite, die anzeigen, dass SAML-Assertions übergeben werden.
Nachdem der Anmeldeversuch fehlgeschlagen ist, navigieren Sie im Dialogfeld “SAML Tracer” zum Tab “Export” > wählen Sie “Mask values” aus > klicken Sie auf den “Export”-Botton.
Eine JSON-Datei wird auf Ihr System heruntergeladen.
Teilen Sie die JSON-Datei (.json-Format) mit uns im IMC Service Desk.
3. IMC-Prüfungen
A. Zertifikatsprobleme
Überprüfen Sie, ob die SSL/TLS-Zertifikate des Identity Providers (IdP) und des Service Providers (SP) aktuell sind.
Stellen Sie sicher, dass die Zertifikate ordnungsgemäß signiert sind und den Sicherheitsanforderungen entsprechen.
B. Fehlkonfiguration
SP- und IdP-Metadaten - Stellen Sie sicher, dass die Metadaten des Service Providers und des Identity Providers richtig konfiguriert und synchronisiert sind.
Einschränkung der Zielgruppe: Stellen Sie sicher, dass der Zielgruppenwert in der SAML-Antwort mit den Erwartungen des Dienstanbieters übereinstimmt.
C. LMS-Konfiguration
Konfiguration → SAML, Open ID, Crowd SSO
Mandanten → SAML-Entity-ID (Systemkontext beachten)
4. Häufige Fehler und Vorschläge
Fehlercode | Beschreibung | Lösung |
|---|---|---|
401 Unauthorized | Zugriff verweigert, möglicherweise aufgrund falscher Anmeldedaten. | Überprüfen Sie die Anmeldedaten und Berechtigungen. |
403 Forbidden | Konto oder Gruppe hat keine Berechtigung. | Passen Sie die Zugriffseinstellungen an. |
500 Internal Server Error | Serverfehler, der oft auf ein Konfigurationsproblem hinweist. | Überprüfen Sie die Server- und Netzwerkeinstellungen. |
SAML Assertion Error | Ungültiges oder fehlendes SAML-Token. | Überprüfen Sie die SAML-Konfiguration. |
Clock Skew Error | Zeitabweichung zwischen den Servern. | Prüfen Sie den NTP-Server und synchronisieren Sie die Zeit. |
5. Protokoll-Analyse
IDM- und ILS-Protokolle: Diese zeigen oft an, ob das Problem vom Identity Provider ausgeht, wie z.B. bei fehlenden Berechtigungen oder Zertifikatsproblemen.
Protokolle der Browser-Konsole: Bei Front-End-SSO kann die Browser-Konsole helfen, JavaScript- oder Netzwerkausnahmen zu erkennen.
SAML Tracer: Eine Browsererweiterung zur Überprüfung von SAML-Anfragen und -Antworten.