Autenticação Federada e códigos de erro SSO

Este tópico documenta os códigos de erro e as mensagens que são geradas durante uma tentativa de login de usuário sem sucesso. As mensagens podem ser usadas para solucionar problemas de configuração relacionados com a autenticação federada e seu IdP.

Os erros são exibidos a cada tentativa de login com falha.

Os dados históricos estão disponíveis em Snowflake Information Schema e Account Usage:

Códigos de erro de autenticação federada

A tabela abaixo contém os códigos de erro e as mensagens relacionadas à autenticação federada.

Código de erro

Erro

Descrição

390135

FED_AUTHN_DISABLED

O método de autenticação federada não está habilitado para sua conta. Entre em contato com o suporte Snowflake.

390136

FED_REAUTH_PENDING

A resposta de autenticação está pendente do IDP.

390137

FED_REAUTH

É gerada uma URL de solicitação de autenticação federada.

390138

FED_REAUTH_TIMEOUT

Tempo limite ao aguardar a resposta de autenticação do IDP.

390139

AUTHENTICATOR_NOT_SUPPORTED

O autenticador especificado não é aceito pela configuração de sua conta Snowflake. Entre em contato com seu administrador de sistema local para obter a URL correta.

390140

FED_PASSWORD_EXPIRED

A senha do Snowflake expirou. A senha deve ser mudada usando sua credencial do Snowflake no console web do Snowflake.

390191

USERNAMES_MISMATCH

O usuário com o qual você estava tentando autenticar é diferente do usuário atualmente conectado no IDP.

390192

FED_AUTHN_USER_DISABLED

O método de autenticação federada não está habilitado para seu usuário. Entre em contato com o suporte Snowflake.

Códigos de erro SAML

A solução de uma falha no login difere dependendo se a mensagem de erro tem um UUID ou não.

Se você encontrar uma mensagem de erro associada a uma tentativa de login SAML SSO com falha, e a mensagem de erro não tiver um UUID, então certifique-se de que o usuário exista. Se o usuário existir, então a resposta SAML será inválida e o número de tentativas de login será muito alto.

Se você encontrar uma mensagem de erro associada a uma tentativa de login SAML SSO com falha, e a mensagem de erro tiver um UUID, você poderá pedir a um administrador que tenha privilégio MONITOR atribuído a sua função para obter uma descrição mais detalhada do erro, seguindo os passos abaixo:

  1. Encontre o UUID na mensagem de erro:

    SAML response is invalid or matching user is not found. Contact your local system administrator. [eb55b777-50a4-4db5-b231-9ee457fb3981]
    
    Copy
  2. Use o UUID como argumento para a função SYSTEM$GET_LOGIN_FAILURE_DETAILS e extraia o erro usando a função JSON_EXTRACT_PATH_TEXT:

    SELECT JSON_EXTRACT_PATH_TEXT(SYSTEM$GET_LOGIN_FAILURE_DETAILS('eb55b777-50a4-4db5-b231-9ee457fb3981'), 'errorCode');
    
    Copy
  3. Encontre a descrição do erro na tabela abaixo:

    Código de erro

    Erro

    Descrição

    390133

    SAML_RESPONSE_INVALID

    A resposta SAML é inválida por uma razão não especificada, embora muito provavelmente seja malformada (também é usado se houver um erro na análise).

    390165

    SAML_RESPONSE_INVALID_SIGNATURE

    A resposta SAML contém uma Assinatura inválida.

    390166

    SAML_RESPONSE_INVALID_DIGEST_METHOD

    A resposta SAML contém um atributo “DigestMethod“ inválido ou o omite completamente.

    390167

    SAML_RESPONSE_INVALID_SIGNATURE_METHOD

    A resposta SAML contém um “SignatureMethod“ inválido ou o omite completamente.

    390168

    SAML_RESPONSE_INVALID_DESTINATION

    O atributo “Destination” na resposta SAML não corresponde a uma URL de destino válida na conta.

    390169

    SAML_RESPONSE_INVALID_AUDIENCE

    A resposta SAML não contém exatamente um público, ou a URL do público não corresponde ao que esperamos que ela seja.

    390170

    SAML_RESPONSE_INVALID_MISSING_INRESPONSETO

    Falta o atributo “InResponseTo“ na declaração SAML.

    390171

    SAML_RESPONSE_INVALID_RECIPIENT_MISMATCH

    O atributo “Recipient” não corresponde a uma URL de destino válida.

    390172

    SAML_RESPONSE_INVALID_NOTONORAFTER_VALIDATION

    Isso normalmente indica que o tempo em que a declaração SAML é válida expirou.

    390173

    SAML_RESPONSE_INVALID_NOTBEFORE_VALIDATION

    Isso normalmente indica que o tempo em que a declaração SAML é válida ainda não chegou.

    390174

    SAML_RESPONSE_INVALID_USERNAMES_MISMATCH

    Os nomes de login não coincidem durante a reautenticação.

    390175

    SAML_RESPONSE_INVALID_SESSIONID_MISSING

    Durante a reautenticação, não foi possível encontrar uma sessão correspondente ao usuário.

    390176

    SAML_RESPONSE_INVALID_ACCOUNTS_MISMATCH

    Durante a reautenticação, verificou-se que os nomes das contas não correspondiam.

    390177

    SAML_RESPONSE_INVALID_BAD_CERT

    O certificado x.509 contido na resposta SAML é malformado ou não corresponde ao certificado esperado.

    390178

    SAML_RESPONSE_INVALID_PROOF_KEY_MISMATCH

    As chaves de prova não correspondem com relação à ID do pedido de autenticação.

    390179

    SAML_RESPONSE_INVALID_INTEGRATION_MISCONFIGURATION

    A configuração SAML IdP é inválida.

    390180

    SAML_RESPONSE_INVALID_REQUEST_PAYLOAD

    Durante a autenticação, é usada uma carga útil inválida ou uma cadeia de conexão OAuth federada inválida.

    390181

    SAML_RESPONSE_INVALID_MISSING_SUBJECT_CONFIRMATION_BEARER

    Falta a confirmação do assunto com o método Bearer, e ela não pode ser validada.

    390182

    SAML_RESPONSE_INVALID_MISSING_SUBJECT_CONFIRMATION_DATA

    Faltam os dados de confirmação do assunto na declaração.

    390183

    SAML_RESPONSE_INVALID_CONDITIONS

    A declaração SAML não é válida por uma razão diferente das condições precedentes nesta tabela.

    390184

    SAML_RESPONSE_INVALID_ISSUER

    A resposta SAML continha um valor do emissor/entityID diferente daquele configurado no SAML IDP.