Navigation:  Configuração da autenticação em um serviço de diretório > Autenticação no AD FS via SAML 2.0 >

Tipos comuns de erros na autenticação via SAML 2.0 com AD FS

 Previous  Top  Next

Esta seção mostra possíveis erros que podem aparecer no arquivo de log do sistema após uma mensagem de erro na autenticação integrada via SAML 2.0. Por motivos de segurança, algumas mensagens de erro que aparecem na tela de login são vagas ou genéricas, sendo necessário recorrer ao arquivo de log da aplicação para mais detalhes do problema.

 

Na tabela a seguir, serão apresentados alguns erros comuns e como solucioná-los:

Erro

Solução

"Failed to decrypt EncryptedData" no momento de autenticar o usuário.

Ocorre quando as regras de limitação das chaves de criptografia do Java JDK estão limitadas a 1024 bits. Verificar o pré-requisito na seção Autenticação no AD FS via SAML 2.0 para maiores detalhes.

"Time Sincronization" no momento de autenticar o usuário

No momento do processamento, as mensagens do SAML são limitadas a um pequeno intervalo de tempo. Isso é feito para evitar ataques de repetição de solicitações. Desta forma, tanto o servidor que está executando o SE Suite como o servidor de autenticação devem ter seus relógios sincronizados. Do contrário, será apresentado este erro no log do produto e o login será abortado.

Após sincronização o usuário não consegue efetuar login no sistema

Acessar o componente SE Administração arrowrgray Cadastro arrowrgray Estrutura organizacional arrowrgray Usuário (AD004) e verificar se o usuário não está inativo ou bloqueado, e ainda, se ele tem Área e Grupo de acesso configurados.

Negociação de autenticação não consegue acessar o servidor do AD FS

Testar o link https://adfsserver/adfs/ls/IdpInitiatedSignOn.aspx para validar se o usuário e senha reconhecidos pelo navegador estão corretos. O link deve mostrar a lista de configurações do ADFS para conexão.

"PKIX path building failed" ao validar o certificado

Diz respeito a problemas ocorridos ao validar os certificados entre os agentes. As possíveis causas deste erro são:

 

1.O certificado utilizado para assinar as requisições não é válido: Neste caso, deve-se gerar um novo certificado e executar o procedimento para instalação do novo metadata do SE Suite no servidor de autenticação.

2.O certificado SSL utilizado no servidor do SE Suite não é reconhecido pelo servidor de autenticação: Deve-se importar o certificado SSL como certificado confiável no servidor de autenticação.

3.Os certificados do servidor de autenticação não são reconhecidos pelo SE Suite:

Certificado do ADFS:

i.Acessar o ADFS, selecionar a pasta 'Certificate' e dar duplo clique em 'Token-signing';

ii.Acessar a aba 'Details' e clicar no botão 'Copy to File';

iii.Exportar o certificado como Base-64 Encoded X.509;

Certificado do IIS do servidor de autenticação:

i.Exportar o certificado como Base-64 Encoded X.509;

ii.Importar o certificado no servidor do SE Suite: keytool -import -trustcacerts -file <caminho/certificado.cer> -alias <alias> -keystore <caminho/certificado>.jks

iii.Adicionar o atributo no JAVA_OPTIONS do Tomcat: Djavax.net.ssl.trustStore=<caminho/certificado>.jks