Note : si la configuration de votre SSO Handshake fonctionnait précédemment sans problème, vous pouvez également consulter le bas de cet article pour accéder aux références supplémentaires, problèmes courants et étapes suivantes :
Codes d’erreur SAML
| Code d’erreur | Signification de l’erreur | Message du mode test | Étapes suivantes |
| 1 | La Réponse SAML n’a pas été incluse dans l’URL | Désolé, nous n’avons pas pu trouver le système de votre école à partir de votre connexion. Veuillez contacter Support@"" Err 1 | Vérifiez votre configuration SAML locale et assurez-vous qu’elle correspond à vos paramètres sous Préférences SSO Handshake |
| 2 | Validation SAML (le fournisseur d'identité ne sais pas comment traiter la demande comme configurée) : # incorrect ou émetteur non signé en réponse ou format format nameID spécifié incorrect | Désolé, nous n’avons pas pu trouver le système de votre école à partir de votre connexion. Veuillez contacter Support@"" Err 2 |
Vérifiez que votre paramètre Format NameID dans les Préférences SSO Handshake correspond à votre configuration SAML locale. Si vous renvoyez un attribut (comme urn:oid:1.3.6.1.4.1.5923.1.1.1.6), assurez-vous de sélectionner « Attribut » (Attribute) pour « Mode de recherche d’identifiant » (Identifier Lookup Mode) et de renseigner la bonne valeur. |
| 3 | Aucune auth_information n’a été trouvée correspondant à saml_issuer. Il semble que la configuration a une valeur incorrecte pour ce champ | Désolé, nous n’avons pas pu trouver le système de votre école à partir de votre connexion. Veuillez contacter Support@"" Err 3 |
Vérifiez que vous avez la bonne valeur « émetteur » (Issuer) dans les Préférences SSO Handshake. Si cela est correct, assurez-vous que vous n’avez pas rempli le champ Format NameID si vous avez sélectionné « Attribut » (Attribute) pour « Mode de recherche d’identifiant » (Identifier Lookup Mode). |
| 4 | Échec de la validation de la réponse SAML Cela est probablement dû à un certificat fingerprint/x509 erroné. Veuillez vérifier votre empreinte digitale et mettre à jour en conséquence. |
Échec de la validation de la réponse SAML. Erreur : <error> | Vérifiez que votre valeur « Empreinte digitale » (Fingerprint) dans les Préférences SSO Handshake correspond au certificat x509 que vous utilisez. Si ce certificat a changé dans votre configuration SAML locale, il doit également être mis à jour dans Handshake. |
| 5 | Les attributs de réponse saml ne contiennent pas d’attribut correspondant à la configuration saml_name_identifier. La configuration a probablement une valeur incorrecte pour ce champ | Impossible de trouver l'attribut attendu dans la réponse SAML. Identifiant d'attribut #auth attendu, Attributs trouvés dans la réponse : <liste des attributs analysés trouvés dans réponse> | Vérifiez les valeurs NameID ou d'attribut que vous avez dans vos Préférences SSO Handshake, et assurez-vous qu’ils correspondent à votre configuration SAML locale. |
| 6 | Impossible d'obtenir une réponse réussie. | Impossible d'obtenir une réponse SAML réussie. Obtenu : <statut du répondeur> | Vérifiez votre configuration SSO SAML locale et vérifiez que vous envoyez une réponse valide. |
| 7 | NameId non trouvé et aucun saml_name_identifier n’est configuré | NameId introuvable dans la réponse. Vérifiez votre paramètre Format Name ID, ou configurez SAML en utilisant à la place un attribut | Vérifiez vos paramètres Format NameID dans les Préférences SSO Handshake. Si vous n’utilisez pas de NameID, passez « Mode de recherche d’identifiant » (Identifier Lookup Mode) à Attribut et renseigner la valeur de l’attribut. |
- Note : selon le fournisseur d’identité que vous utilisez pour la SSO, vous pouvez recevoir l’erreur suivante lorsque vous essayez de vous connecter (en utilisant SAML auth) :
Cela est lié au contexte d’authentification demandé par votre fournisseur d’identité qui peut être activé/désactivé dans la page de vos Préférences SSO :
Vous aurez besoin de désactiver ce paramètre si vous utilisez ADFS ou Azure AD, mais cela devrait généralement être activé pour la plupart des autres fournisseurs d’identité.
Codes d’erreur CAS
| Code d’erreur | Signification de l’erreur | Message du mode test | Étapes suivantes |
| 1 | Le paramètre school_id est manquant ou ne se connecte pas à une école | Désolé, nous avons eu du mal à trouver votre école. Veuillez contacter le support | Non courant, à ce stade, le support Handshake doit effectuer la correction. Veuillez ouvrir le ticket de support |
| 2 | validate_service_ticket via une exception | Nous n’avons pas validé votre ticket : #{exception class and message}. Veuillez vérifier l’URL de votre base CAS et réessayer. | Mettez à jour l’URL de votre base CAS dans les Préférences SSO Handshake. Cela doit correspondre à l’URL exacte pour votre configuration CAS locale. |
| 3 | service_ticket.is_valid ? retourné faux | Nous n’avons pas validé votre ticket. Code : #{failure_code}. Message : #{failure_message} | Vérifiez votre configuration CAS locale et testez à nouveau. Cela indique que nous ne sommes pas en mesure de vous authentifier avec votre serveur. |
Codes d’erreur LDAP
| Code d’erreur | Signification de l’erreur | Message du mode test | Étapes suivantes |
| 1 | Méthode de liaison de base retournée faux : https://github.com/ruby-ldap/ruby-net-ldap/blob/master/lib/net/ldap.rb#L813-L814 | Impossible de se connecter au serveur LDAP : #{get_operation_result} | Vérifiez vos paramètres de liaison (IP organisateur(rice) et identifiants) dans les Préférences SSO Handshake. Assurez-vous également d'avoir débloqué nos deux IP et de nous avoir demandé de débloquer la vôtre (voir le guide d’installation LDAP). |
| 2 | Divers exceptions causées par la liaison de base ; principalement les problèmes de connexion | Échec de connexion au serveur LDAP : #{exception class + message} | Vérifiez vos paramètres de liaison (IP organisateur(rice) et identifiants) dans les Préférences SSOHandshake. Assurez-vous également d'avoir débloqué nos deux IP et de nous avoir demandé de débloquer la vôtre (voir le guide d’installation LDAP). |
| 3 | La recherche a échoué avec une erreur : https://github.com/ruby-ldap/ruby-net-ldap/blob/master/lib/net/ldap.rb#L750-L751 | La recherche de utilisateur(rice) LDAP a échoué : #{get_operation_result} | Vérifiez votre valeur Username dans les Préférences SSO Handshake. Cela doit correspondre à votre configuration LDAP locale afin d’authentifier avec le serveur LDAP avant la recherche de Base DN/Filtre. |
| 4 | La recherche a trouvé plusieurs utilisateurs(rices) | La recherche d'utilisateur(rice) LDAP a trouvé plusieurs utilisateurs(rices) avec le nom d’utilisateur(rice) donné. | Vérifiez la valeur Filtre dans les Préférences SSO Handshake, et assurez-vous que l’identifiant utilisé est unique pour chaque étudiant(e). Ajustez la base DN si vous regardez au mauvais endroit. |
| 5 | Divers exceptions causées par la liaison du client ; principalement les problèmes de connexion | Échec de la connexion utilisateur(rice) LDAP : #{exception class + message} | Assurez-vous d'avoir débloqué nos deux IP et de nous avoir demandé de débloquer la vôtre (voir le guide d’installation LDAP). Testez également vos paramètres de connexion (IP organisateur(rice), nom d’utilisateur(rice)/mot de passe du serveur) en dehors de Handshake pour suivre tous les problèmes de connexion ou de configuration locaux. |
| 6 | La cause probable est que l’authentification a pris plus de temps que le délai du client | L’authentification a expiré. Le serveur LDAP est-il opérationnel et répond-il ? | Si ce n’est que pour quelques utilisateurs(rices), essayez à nouveau après quelques instants car les délais d'attente peuvent être courants avec LDAP. Si cela concerne de nombreux(euses) ’utilisateurs(rices), veuillez demander au service informatique de vérifier la santé du serveur LDAP local. Nous voyons généralement cela si le serveur LDAP local de l’école est en maintenance ou si vous rencontrez des problèmes de connexion intermittent. |
| 7 | Cookies de jeton non présents | Jeton d’authentification d’arrière-plan non présent | Non courant, vérifiez la configuration de votre serveur LDAP local. |
| 8 | La recherche a retourné un ensemble vide | La recherche de utilisateur(rice) LDAP n’a trouvé aucun utilisateur(rice) ; si cette utilisateur(rice) devait exister, vérifiez le paramètre de filtre dans vos Préférences SSO Handshake. | Étudiant(e) non trouvé(e) au sein de l'université en fonction du nom d’utilisateur(rice) entré, donc il convient de vérifier si le format d'identification utilisé est le bon. Si cela se produit pour tous(toutes) les utilisateurs(rices), ajustez la base DN et/ou le paramètre Filtre dans vos Préférences SSO Handshake pour qu'ils soient au bon endroit. |
| 9 | Méthode de liaison client retournée faux : https://github.com/ruby-ldap/ruby-net-ldap/blob/master/lib/net/ldap.rb#L813-L814 | Échec de la connexion utilisateur(rice) LDAP : #{get_operation_result} | Étudiant(e) trouvé(e) au sein de l'école, mais son mot de passe était invalide. Veuillez vous assurer qu’il(elle) utilise son mot de passe local géré par l'université/LDAP. |