Autenticação federada e solução de problemas de SSO

Este tópico fornece informações para ajudar a solucionar problemas de um ambiente de autenticação federada, incluindo códigos de erro e mensagens geradas durante uma tentativa malsucedida de login de usuário.

Códigos de erro

Erros são gerados para cada tentativa de login com falha. Esses erros podem ser obtidos no Snowflake Information Schema ou no esquema ACCOUNT_USAGE:

  • O Snowflake Information Schema fornece dados dos últimos 7 dias e pode ser consultado usando as funções de tabela LOGIN_HISTORY , LOGIN_HISTORY_BY_USER.

  • A exibição LOGIN_HISTORY no esquema ACCOUNT_USAGE fornece dados semelhantes do ano passado.

Códigos de erro de autenticação federada

A tabela abaixo contém os códigos de erro e as mensagens relacionadas à autenticação federada.

Código de erro

Erro

Descrição

390136

FED_REAUTH_PENDING

A resposta de autenticação está pendente do IDP.

390137

FED_REAUTH

É gerada uma URL de solicitação de autenticação federada.

390138

FED_REAUTH_TIMEOUT

Tempo limite ao aguardar a resposta de autenticação do IDP.

390139

AUTHENTICATOR_NOT_SUPPORTED

O autenticador especificado não é aceito pela configuração de sua conta Snowflake. Entre em contato com seu administrador de sistema local para obter a URL correta.

390140

FED_PASSWORD_EXPIRED

A senha do provedor de identidade (IdP) expirou. Entre em contato com sua equipe do IdP.

390191

USERNAMES_MISMATCH

O usuário com o qual você estava tentando autenticar é diferente do usuário atualmente conectado no IDP.

Códigos de erro SAML

A solução de uma falha no login difere dependendo se a mensagem de erro tem um UUID ou não.

Se você encontrar uma mensagem de erro associada a uma tentativa de login SAML SSO com falha, e a mensagem de erro não tiver um UUID, então certifique-se de que o usuário exista. Se o usuário existir, então a resposta SAML será inválida e o número de tentativas de login será muito alto.

Se você encontrar uma mensagem de erro associada a uma tentativa de login SAML SSO com falha, e a mensagem de erro tiver um UUID, você poderá pedir a um administrador que tenha privilégio MONITOR atribuído a sua função para obter uma descrição mais detalhada do erro, seguindo os passos abaixo:

  1. Encontre o UUID na mensagem de erro:

    SAML response is invalid or matching user is not found. Contact your local system administrator. [eb55b777-50a4-4db5-b231-9ee457fb3981]
    Copy

  2. Use o UUID como argumento para a função SYSTEM$GET_LOGIN_FAILURE_DETAILS e extraia o erro usando a função JSON_EXTRACT_PATH_TEXT:

    SELECT JSON_EXTRACT_PATH_TEXT(SYSTEM$GET_LOGIN_FAILURE_DETAILS('eb55b777-50a4-4db5-b231-9ee457fb3981'), 'errorCode');
    Copy

  3. Encontre a descrição do erro na tabela abaixo:

    Código de erro

    Erro

    Descrição

    390133

    SAML_RESPONSE_INVALID

    A resposta SAML é inválida por uma razão não especificada, embora muito provavelmente seja malformada (também é usado se houver um erro na análise).

    390165

    SAML_RESPONSE_INVALID_SIGNATURE

    A resposta SAML contém uma Assinatura inválida.

    390166

    SAML_RESPONSE_INVALID_DIGEST_METHOD

    A resposta SAML contém um atributo “DigestMethod“ inválido ou o omite completamente.

    390167

    SAML_RESPONSE_INVALID_SIGNATURE_METHOD

    A resposta SAML contém um “SignatureMethod“ inválido ou o omite completamente.

    390168

    SAML_RESPONSE_INVALID_DESTINATION

    O atributo “Destination” na resposta SAML não corresponde a uma URL de destino válida na conta.

    390169

    SAML_RESPONSE_INVALID_AUDIENCE

    A resposta SAML não contém exatamente um público, ou a URL do público não corresponde ao que esperamos que ela seja.

    390170

    SAML_RESPONSE_INVALID_MISSING_INRESPONSETO

    Falta o atributo “InResponseTo“ na declaração SAML.

    390171

    SAML_RESPONSE_INVALID_RECIPIENT_MISMATCH

    O atributo “Recipient” não corresponde a uma URL de destino válida.

    390172

    SAML_RESPONSE_INVALID_NOTONORAFTER_VALIDATION

    Isso normalmente indica que o tempo em que a declaração SAML é válida expirou.

    390173

    SAML_RESPONSE_INVALID_NOTBEFORE_VALIDATION

    Isso normalmente indica que o tempo em que a declaração SAML é válida ainda não chegou.

    390174

    SAML_RESPONSE_INVALID_USERNAMES_MISMATCH

    Os nomes de login não coincidem durante a reautenticação.

    390175

    SAML_RESPONSE_INVALID_SESSIONID_MISSING

    Durante a reautenticação, não foi possível encontrar uma sessão correspondente ao usuário.

    390176

    SAML_RESPONSE_INVALID_ACCOUNTS_MISMATCH

    Durante a reautenticação, verificou-se que os nomes das contas não correspondiam.

    390177

    SAML_RESPONSE_INVALID_BAD_CERT

    O certificado x.509 contido na resposta SAML é malformado ou não corresponde ao certificado esperado.

    390178

    SAML_RESPONSE_INVALID_PROOF_KEY_MISMATCH

    As chaves de prova não correspondem com relação à ID do pedido de autenticação.

    390179

    SAML_RESPONSE_INVALID_INTEGRATION_MISCONFIGURATION

    A configuração SAML IdP é inválida.

    390180

    SAML_RESPONSE_INVALID_REQUEST_PAYLOAD

    Durante a autenticação, é usada uma carga útil inválida ou uma cadeia de conexão OAuth federada inválida.

    390181

    SAML_RESPONSE_INVALID_MISSING_SUBJECT_CONFIRMATION_BEARER

    Falta a confirmação do assunto com o método Bearer, e ela não pode ser validada.

    390182

    SAML_RESPONSE_INVALID_MISSING_SUBJECT_CONFIRMATION_DATA

    Faltam os dados de confirmação do assunto na declaração.

    390183

    SAML_RESPONSE_INVALID_CONDITIONS

    A declaração SAML não é válida por uma razão diferente das condições precedentes nesta tabela.

    390184

    SAML_RESPONSE_INVALID_ISSUER

    A resposta SAML continha um valor do emissor/entityID diferente daquele configurado no SAML IDP.
Linguagem: Português