Autenticação Federada e códigos de erro SSO¶
Este tópico documenta os códigos de erro e as mensagens que são geradas durante uma tentativa de login de usuário sem sucesso. As mensagens podem ser usadas para solucionar problemas de configuração relacionados com a autenticação federada e seu IdP.
Os erros são exibidos a cada tentativa de login com falha.
Os dados históricos estão disponíveis em Snowflake Information Schema e Account Usage:
O Information Schema fornece dados dos últimos 7 dias e pode ser consultado usando as funções de tabela LOGIN_HISTORY , LOGIN_HISTORY_BY_USER.
O Account Usage Exibição LOGIN_HISTORY fornece dados do último ano.
Códigos de erro de autenticação federada¶
A tabela abaixo contém os códigos de erro e as mensagens relacionadas à autenticação federada.
Código de erro |
Erro |
Descrição |
---|---|---|
390135 |
FED_AUTHN_DISABLED |
O método de autenticação federada não está habilitado para sua conta. Entre em contato com o suporte Snowflake. |
390136 |
FED_REAUTH_PENDING |
A resposta de autenticação está pendente do IDP. |
390137 |
FED_REAUTH |
É gerada uma URL de solicitação de autenticação federada. |
390138 |
FED_REAUTH_TIMEOUT |
Tempo limite ao aguardar a resposta de autenticação do IDP. |
390139 |
AUTHENTICATOR_NOT_SUPPORTED |
O autenticador especificado não é aceito pela configuração de sua conta Snowflake. Entre em contato com seu administrador de sistema local para obter a URL correta. |
390140 |
FED_PASSWORD_EXPIRED |
A senha do Snowflake expirou. A senha deve ser mudada usando sua credencial do Snowflake no console web do Snowflake. |
390191 |
USERNAMES_MISMATCH |
O usuário com o qual você estava tentando autenticar é diferente do usuário atualmente conectado no IDP. |
390192 |
FED_AUTHN_USER_DISABLED |
O método de autenticação federada não está habilitado para seu usuário. Entre em contato com o suporte Snowflake. |
Códigos de erro SAML¶
A solução de uma falha no login difere dependendo se a mensagem de erro tem um UUID ou não.
Se você encontrar uma mensagem de erro associada a uma tentativa de login SAML SSO com falha, e a mensagem de erro não tiver um UUID, então certifique-se de que o usuário exista. Se o usuário existir, então a resposta SAML será inválida e o número de tentativas de login será muito alto.
Se você encontrar uma mensagem de erro associada a uma tentativa de login SAML SSO com falha, e a mensagem de erro tiver um UUID, você poderá pedir a um administrador que tenha privilégio MONITOR atribuído a sua função para obter uma descrição mais detalhada do erro, seguindo os passos abaixo:
Encontre o UUID na mensagem de erro:
SAML response is invalid or matching user is not found. Contact your local system administrator. [eb55b777-50a4-4db5-b231-9ee457fb3981]
Use o UUID como argumento para a função SYSTEM$GET_LOGIN_FAILURE_DETAILS e extraia o erro usando a função JSON_EXTRACT_PATH_TEXT:
SELECT JSON_EXTRACT_PATH_TEXT(SYSTEM$GET_LOGIN_FAILURE_DETAILS('eb55b777-50a4-4db5-b231-9ee457fb3981'), 'errorCode');
Encontre a descrição do erro na tabela abaixo:
Código de erro
Erro
Descrição
390133
SAML_RESPONSE_INVALID
A resposta SAML é inválida por uma razão não especificada, embora muito provavelmente seja malformada (também é usado se houver um erro na análise).
390165
SAML_RESPONSE_INVALID_SIGNATURE
A resposta SAML contém uma Assinatura inválida.
390166
SAML_RESPONSE_INVALID_DIGEST_METHOD
A resposta SAML contém um atributo “DigestMethod“ inválido ou o omite completamente.
390167
SAML_RESPONSE_INVALID_SIGNATURE_METHOD
A resposta SAML contém um “SignatureMethod“ inválido ou o omite completamente.
390168
SAML_RESPONSE_INVALID_DESTINATION
O atributo “Destination” na resposta SAML não corresponde a uma URL de destino válida na conta.
390169
SAML_RESPONSE_INVALID_AUDIENCE
A resposta SAML não contém exatamente um público, ou a URL do público não corresponde ao que esperamos que ela seja.
390170
SAML_RESPONSE_INVALID_MISSING_INRESPONSETO
Falta o atributo “InResponseTo“ na declaração SAML.
390171
SAML_RESPONSE_INVALID_RECIPIENT_MISMATCH
O atributo “Recipient” não corresponde a uma URL de destino válida.
390172
SAML_RESPONSE_INVALID_NOTONORAFTER_VALIDATION
Isso normalmente indica que o tempo em que a declaração SAML é válida expirou.
390173
SAML_RESPONSE_INVALID_NOTBEFORE_VALIDATION
Isso normalmente indica que o tempo em que a declaração SAML é válida ainda não chegou.
390174
SAML_RESPONSE_INVALID_USERNAMES_MISMATCH
Os nomes de login não coincidem durante a reautenticação.
390175
SAML_RESPONSE_INVALID_SESSIONID_MISSING
Durante a reautenticação, não foi possível encontrar uma sessão correspondente ao usuário.
390176
SAML_RESPONSE_INVALID_ACCOUNTS_MISMATCH
Durante a reautenticação, verificou-se que os nomes das contas não correspondiam.
390177
SAML_RESPONSE_INVALID_BAD_CERT
O certificado x.509 contido na resposta SAML é malformado ou não corresponde ao certificado esperado.
390178
SAML_RESPONSE_INVALID_PROOF_KEY_MISMATCH
As chaves de prova não correspondem com relação à ID do pedido de autenticação.
390179
SAML_RESPONSE_INVALID_INTEGRATION_MISCONFIGURATION
A configuração SAML IdP é inválida.
390180
SAML_RESPONSE_INVALID_REQUEST_PAYLOAD
Durante a autenticação, é usada uma carga útil inválida ou uma cadeia de conexão OAuth federada inválida.
390181
SAML_RESPONSE_INVALID_MISSING_SUBJECT_CONFIRMATION_BEARER
Falta a confirmação do assunto com o método Bearer, e ela não pode ser validada.
390182
SAML_RESPONSE_INVALID_MISSING_SUBJECT_CONFIRMATION_DATA
Faltam os dados de confirmação do assunto na declaração.
390183
SAML_RESPONSE_INVALID_CONDITIONS
A declaração SAML não é válida por uma razão diferente das condições precedentes nesta tabela.
390184
SAML_RESPONSE_INVALID_ISSUER
A resposta SAML continha um valor do emissor/entityID diferente daquele configurado no SAML IDP.