Problembehandlung bei Verbundauthentifizierung und SSO¶
Unter diesem Thema finden Sie Informationen zur Problembehandlung in einer Umgebung mit Verbundauthentifizierung, einschließlich Fehlercodes und Meldungen, die bei einem erfolglosen Anmeldeversuch eines Benutzers generiert werden.
Fehlercodes¶
Für jeden fehlgeschlagenen Anmeldeversuch wird ein Fehler generiert. Diese Fehler können aus dem Snowflake Information Schema oder dem ACCOUNT_USAGE-Schema entnommen werden:
Das Snowflake Information Schema liefert Daten aus den letzten 7 Tagen und kann mit den LOGIN_HISTORY , LOGIN_HISTORY_BY_USER-Tabellenfunktionen abgefragt werden.
Die Ansicht LOGIN_HISTORY im ACCOUNT_USAGE-Schema liefert ähnliche Daten aus dem vergangenen Jahr.
Fehlercodes bei Verbundauthentifizierung¶
Die folgende Tabelle enthält die Fehlercodes und Meldungen im Zusammenhang mit der Verbundauthentifizierung.
Fehlercode |
Fehler |
Beschreibung |
|---|---|---|
390136 |
FED_REAUTH_PENDING |
Die Authentifizierungsantwort vom IDP steht noch aus. |
390137 |
FED_REAUTH |
Die URL der Verbundauthentifizierungsanforderung wird generiert. |
390138 |
FED_REAUTH_TIMEOUT |
Timeout wartet auf Authentifizierungsantwort vom IDP. |
390139 |
AUTHENTICATOR_NOT_SUPPORTED |
Der angegebene Authentifikator wird von Ihrer Snowflake-Kontokonfiguration nicht akzeptiert. Wenden Sie sich an Ihren lokalen Systemadministrator, um die korrekte URL zu erhalten. |
390140 |
FED_PASSWORD_EXPIRED |
Das Kennwort des Identitätsanbieters (IdP) ist abgelaufen. Wenden Sie sich an das IdP-Team. |
390191 |
USERNAMES_MISMATCH |
Der Benutzer, als den Sie sich zu authentifizieren versuchten, unterscheidet sich von dem Benutzer, der derzeit am IDP angemeldet ist. |
SAML-Fehlercodes¶
Die Problembehandlung bei einem Anmeldefehler hängt davon ab, ob die Fehlermeldung eine UUID enthält.
Wenn die Fehlermeldung im Zusammenhang mit einem fehlgeschlagenen SAML-SSO-Anmeldeversuch steht und die Fehlermeldung keine UUID enthält, dann müssen Sie prüfen, ob der Benutzer existiert. Wenn der Benutzer existiert, ist die SAML-Antwort ungültig und die Anzahl der Anmeldeversuche ist zu hoch.
Wenn eine Fehlermeldung im Zusammenhang mit einem fehlgeschlagenen SAML-SSO-Anmeldeversuch steht und die Fehlermeldung eine UUID enthält, dann können Sie bei einem Administrator mit MONITOR-Berechtigung die Bereitstellung einer genaueren Beschreibung des Fehlers anfordern. Der Administrator muss die folgenden Schritte ausführen:
Suchen Sie die UUID in der Fehlermeldung:
SAML response is invalid or matching user is not found. Contact your local system administrator. [eb55b777-50a4-4db5-b231-9ee457fb3981]
Verwenden Sie die UUID als Argument für die Funktion SYSTEM$GET_LOGIN_FAILURE_DETAILS, und extrahieren Sie den Fehler mit der Funktion JSON_EXTRACT_PATH_TEXT:
SELECT JSON_EXTRACT_PATH_TEXT(SYSTEM$GET_LOGIN_FAILURE_DETAILS('eb55b777-50a4-4db5-b231-9ee457fb3981'), 'errorCode');
Eine Beschreibung des Fehlers ist in der nachstehenden Tabelle zu finden:
Fehlercode
Fehler
Beschreibung
390133
SAML_RESPONSE_INVALID
Die SAML-Antwort war aus einem nicht spezifizierten Grund ungültig, obwohl sie höchstwahrscheinlich fehlerhaft ist (dies wird auch verwendet, wenn ein Fehler beim Parsen vorliegt).
390165
SAML_RESPONSE_INVALID_SIGNATURE
Die SAML-Antwort enthält eine ungültige Signatur.
390166
SAML_RESPONSE_INVALID_DIGEST_METHOD
Die SAML-Antwort enthält ein ungültiges „DigestMethod“-Attribut oder lässt es ganz weg.
390167
SAML_RESPONSE_INVALID_SIGNATURE_METHOD
Die SAML-Antwort enthält ein ungültiges „SignatureMethod“-Attribute oder lässt es ganz weg.
390168
SAML_RESPONSE_INVALID_DESTINATION
Das Attribut „Destination“ in der SAML-Antwort stimmt nicht mit einer gültigen Ziel-URL des Kontos überein.
390169
SAML_RESPONSE_INVALID_AUDIENCE
Die SAML-Antwort enthält nicht genau eine Zielgruppe, oder die Zielgruppen-URL stimmt nicht mit der erwarteten Zielgruppen-URL überein.
390170
SAML_RESPONSE_INVALID_MISSING_INRESPONSETO
Das „InResponseTo“-Attribut in der SAML-Assertion fehlt.
390171
SAML_RESPONSE_INVALID_RECIPIENT_MISMATCH
Das „Recipient“-Attribut stimmt nicht mit einer gültigen Ziel-URL überein.
390172
SAML_RESPONSE_INVALID_NOTONORAFTER_VALIDATION
Dies zeigt typischerweise an, dass die Zeit abgelaufen ist, in der die SAML-Assertion gültig ist.
390173
SAML_RESPONSE_INVALID_NOTBEFORE_VALIDATION
Dies zeigt typischerweise an, dass die Zeit, in der die SAML-Assertion gültig ist, noch nicht gekommen ist.
390174
SAML_RESPONSE_INVALID_USERNAMES_MISMATCH
Die Anmeldenamen stimmen bei der erneuten Authentifizierung nicht überein.
390175
SAML_RESPONSE_INVALID_SESSIONID_MISSING
Bei der erneuten Authentifizierung konnte keine dem Benutzer entsprechende Sitzung gefunden werden.
390176
SAML_RESPONSE_INVALID_ACCOUNTS_MISMATCH
Bei der erneuten Authentifizierung wurde festgestellt, dass die Namen der Konten nicht übereinstimmen.
390177
SAML_RESPONSE_INVALID_BAD_CERT
Das in der SAML-Antwort enthaltene x.509-Zertifikat ist entweder fehlerhaft oder stimmt nicht mit dem erwarteten Zertifikat überein.
390178
SAML_RESPONSE_INVALID_PROOF_KEY_MISMATCH
Die Proof Keys stimmen nicht mit der Authentifizierungsanforderungs-ID überein.
390179
SAML_RESPONSE_INVALID_INTEGRATION_MISCONFIGURATION
Die SAML-IdP-Konfiguration ist ungültig.
390180
SAML_RESPONSE_INVALID_REQUEST_PAYLOAD
Verwenden Sie während der Authentifizierung eine ungültige Nutzlast oder eine ungültige OAuth-Verbundzeichenfolge.
390181
SAML_RESPONSE_INVALID_MISSING_SUBJECT_CONFIRMATION_BEARER
Die Betreffbestätigung mit der Bearer-Methode fehlt und kann nicht validiert werden.
390182
SAML_RESPONSE_INVALID_MISSING_SUBJECT_CONFIRMATION_DATA
Die Daten zur Betreffbestätigung fehlen in der Assertion.
390183
SAML_RESPONSE_INVALID_CONDITIONS
Die SAML-Assertion ist aus einem anderen Grund als den vorhergehenden Bedingungen in dieser Tabelle nicht gültig.
390184
SAML_RESPONSE_INVALID_ISSUER
Die SAML-Antwort enthielt einen Aussteller/entityID-Wert, der sich von dem in der SAMLIDP-Konfiguration konfigurierten Wert unterscheidet.