Authentification fédérée et dépannage de SSO¶
Cette rubrique fournit des informations permettant de dépanner un environnement d’authentification fédérée, notamment les codes d’erreur et les messages générés lors d’une tentative de connexion utilisateur infructueuse.
Codes d’erreur¶
Des erreurs sont générées pour chaque tentative de connexion échouée. Ces erreurs peuvent être obtenues à partir de Schéma d’information de Snowflake ou du schéma ACCOUNT_USAGE :
Information Schema de Snowflake fournit des données des 7 derniers jours et peut être interrogé à l’aide des fonctions de table du LOGIN_HISTORY , LOGIN_HISTORY_BY_USER.
La vue LOGIN_HISTORY du schéma ACCOUNT_USAGE fournit des données similaires pour l’année écoulée.
Codes d’erreur relatifs à l’authentification fédérée¶
Le tableau ci-dessous contient les codes d’erreur et les messages relatifs à l’authentification fédérée.
Code d’erreur |
Erreur |
Description |
|---|---|---|
390136 |
FED_REAUTH_PENDING |
La réponse de l’authentification est en suspens dans IDP. |
390137 |
FED_REAUTH |
L’URL de la demande d’authentification fédérée est générée. |
390138 |
FED_REAUTH_TIMEOUT |
Le délai d’attente de la réponse d’authentification d’IDP a expiré. |
390139 |
AUTHENTICATOR_NOT_SUPPORTED |
L’authentificateur spécifié n’est pas accepté dans la configuration de votre compte Snowflake. Veuillez contacter votre administrateur système local pour obtenir une URL correcte utilisable. |
390140 |
FED_PASSWORD_EXPIRED |
Le mot de passe du fournisseur d’identité (IdP) a expiré. Contactez votre équipe IdP. |
390191 |
USERNAMES_MISMATCH |
L’utilisateur que vous avez essayé d’authentifier diffère de l’utilisateur actuellement connecté à l’IDP. |
Codes d’erreur SAML¶
Le dépannage d’un échec de connexion diffère selon que le message d’erreur comporte ou non un UUID.
Si vous rencontrez un message d’erreur associé à l’échec d’une tentative de connexion SAML SSO et que le message d’erreur ne comporte pas d’UUID, assurez-vous que l’utilisateur existe. Si l’utilisateur existe, alors la réponse SAML est non valide et le nombre de tentatives de connexion est trop élevé.
Si vous rencontrez un message d’erreur associé à l’échec d’une tentative de connexion SAML SSO et que le message d’erreur comporte un UUID, vous pouvez demander à un administrateur qui a le privilège MONITOR attribué à son rôle d’obtenir une description plus détaillée de l’erreur en suivant les étapes ci-dessous :
Trouvez l’UUID dans le message d’erreur :
SAML response is invalid or matching user is not found. Contact your local system administrator. [eb55b777-50a4-4db5-b231-9ee457fb3981]
Utilisez l’UUID comme argument de la fonction SYSTEM$GET_LOGIN_FAILURE_DETAILS et extrayez l’erreur en utilisant la fonction JSON_EXTRACT_PATH_TEXT :
SELECT JSON_EXTRACT_PATH_TEXT(SYSTEM$GET_LOGIN_FAILURE_DETAILS('eb55b777-50a4-4db5-b231-9ee457fb3981'), 'errorCode');
Trouvez la description de l’erreur dans le tableau ci-dessous :
Code d’erreur
Erreur
Description
390133
SAML_RESPONSE_INVALID
La réponse SAML n’était pas valide pour une raison non spécifiée, bien qu’elle soit très probablement formée incorrectement (elle est aussi utilisée en cas d’erreur lors de l’analyse).
390165
SAML_RESPONSE_INVALID_SIGNATURE
La réponse SAML contient une signature non valide.
390166
SAML_RESPONSE_INVALID_DIGEST_METHOD
La réponse SAML contient un attribut « DigestMethod » invalide ou l’omet complètement.
390167
SAML_RESPONSE_INVALID_SIGNATURE_METHOD
La réponse SAML contient une « SignatureMethod » invalide ou l’omet complètement.
390168
SAML_RESPONSE_INVALID_DESTINATION
L’attribut « Destination » dans la réponse SAML ne correspond pas à une URL de destination valide dans le compte.
390169
SAML_RESPONSE_INVALID_AUDIENCE
La réponse SAML ne contient pas exactement une cible, ou l’URL cible ne correspond pas à ce que nous attendons de l’URL cible.
390170
SAML_RESPONSE_INVALID_MISSING_INRESPONSETO
L’attribut « InResponseTo » de l’affirmation SAML est absent.
390171
SAML_RESPONSE_INVALID_RECIPIENT_MISMATCH
L’attribut « Destinataire » n” pas d’URL de destination valide.
390172
SAML_RESPONSE_INVALID_NOTONORAFTER_VALIDATION
Ceci indique généralement que le temps pendant lequel l’affirmation SAML est valide a expiré.
390173
SAML_RESPONSE_INVALID_NOTBEFORE_VALIDATION
Ceci indique généralement que le temps pendant lequel l’affirmation SAML est valide n’est pas encore maintenant.
390174
SAML_RESPONSE_INVALID_USERNAMES_MISMATCH
Les noms d’utilisateur ne correspondent pas durant la réauthentification.
390175
SAML_RESPONSE_INVALID_SESSIONID_MISSING
Lors de la réauthentification, nous n’avons pas pu trouver une session correspondant à l’utilisateur.
390176
SAML_RESPONSE_INVALID_ACCOUNTS_MISMATCH
Lors de la réauthentification, les noms des comptes ne correspondaient pas.
390177
SAML_RESPONSE_INVALID_BAD_CERT
Le certificat x.509 contenu dans la réponse SAML est malformé ou ne correspond pas au certificat attendu.
390178
SAML_RESPONSE_INVALID_PROOF_KEY_MISMATCH
Les clés de preuve ne correspondent pas par rapport à l’ID de demande d’authentification.
390179
SAML_RESPONSE_INVALID_INTEGRATION_MISCONFIGURATION
La configuration SAML IdP n’est pas valide.
390180
SAML_RESPONSE_INVALID_REQUEST_PAYLOAD
Lors de l’authentification, utilisation d’une charge utile non valide ou d’une chaîne de connexion fédérée OAuth non valide.
390181
SAML_RESPONSE_INVALID_MISSING_SUBJECT_CONFIRMATION_BEARER
La confirmation du sujet avec la méthode du porteur est manquante et ne peut pas être validée.
390182
SAML_RESPONSE_INVALID_MISSING_SUBJECT_CONFIRMATION_DATA
Les données de confirmation du sujet sont manquantes dans l’assertion.
390183
SAML_RESPONSE_INVALID_CONDITIONS
L’assertion SAML n’est pas valide pour une raison différente des conditions précédentes de ce tableau.
390184
SAML_RESPONSE_INVALID_ISSUER
La réponse SAML contenait une valeur d’émetteur/entityID différente de celle configurée dans la configuration SAML IDP.