FAQ tentang SSO - CloudSSO

Topik ini menjawab beberapa pertanyaan umum tentang Single Sign-On (SSO) di CloudSSO.

Bagaimana cara melihat respons SAML di Google Chrome?

Jika terjadi masalah selama SSO, Anda dapat memeriksa respons Security Assertion Markup Language (SAML) di Google Chrome untuk mendiagnosis masalah tersebut. Langkah-langkah berbeda tergantung pada versi browser. Contoh ini menggunakan Google Chrome 108.0.5359.125 (64-bit).

Tekan F12 untuk membuka DevTools.
Klik Network dan pilih Preserve log.
Lakukan SSO lagi untuk mereproduksi masalah.
Cari sso di log yang ditampilkan pada tab Network. Klik catatan yang relevan dan buka tab Payload untuk melihat respons SAML.

Apa yang harus saya lakukan jika pesan kesalahan "InvalidSubjectValue" atau "InvalidUser" dilaporkan selama SSO?

Penyebab	Solusi
Tidak ada pengguna CloudSSO yang dibuat di CloudSSO, atau nama pengguna dari pengguna CloudSSO tidak sesuai dengan nama pengguna di penyedia identitas (IdP) Anda.	Ubah nama pengguna CloudSSO agar sesuai dengan nama pengguna di IdP Anda. Nama pengguna CloudSSO dapat memiliki panjang hingga 64 karakter dan hanya boleh mengandung karakter khusus berikut: `@ _ - .`. Nama pengguna di IdP Anda juga harus memenuhi persyaratan ini. Jika tidak, gunakan salah satu metode berikut: Ubah nama pengguna di IdP Anda sesuai dengan persyaratan. Ubah bidang yang secara unik mengidentifikasi pengguna dalam pengaturan SSO di IdP Anda. Misalnya, gunakan alamat email pengguna yang dapat mengidentifikasi pengguna secara unik tanpa karakter khusus. Konfigurasikan aturan konversi pemetaan nama pengguna dalam pengaturan SSO di IdP Anda.
Sinkronisasi pengguna gagal menggunakan System for Cross-domain Identity Management (SCIM).	Periksa log sinkronisasi SCIM di IdP Anda dan selesaikan masalah tersebut.
User Principal Name (UPN) pengguna di IdP Anda tidak sesuai dengan UPN yang disinkronkan ke CloudSSO. Kemungkinan penyebabnya adalah: Nama pengguna yang disinkronkan ke CloudSSO menggunakan SCIM tidak menggunakan UPN. Aturan konversi pemetaan nama pengguna dikonfigurasi dalam pengaturan sinkronisasi SCIM.	Pastikan aturan konversi yang dikonfigurasi dalam pengaturan SSO di IdP Anda sesuai dengan aturan konversi dalam pengaturan sinkronisasi SCIM.

Apa yang harus saya lakukan jika pesan kesalahan "The assertion signature is invalid" dan pesan kesalahan "The assertion signature is invalid or Sigin token expired" dilaporkan selama login SSO?

Penyebab	Solusi
Pasangan kunci publik-pribadi yang digunakan untuk tanda tangan di IdP Anda telah diputar, tetapi metadata IdP Anda di Alibaba Cloud belum diperbarui.	Perbarui metadata IdP Anda di Alibaba Cloud. Unduh file metadata terbaru dari IdP Anda dan unggah file tersebut ke Alibaba Cloud.
Pasangan kunci publik-pribadi yang digunakan untuk tanda tangan di IdP Anda telah diputar, dan metadata IdP Anda di Alibaba Cloud telah diperbarui. Namun, selama rotasi, kunci pribadi asli mungkin masih digunakan di IdP Anda, sementara metadata IdP Anda di Alibaba Cloud hanya berisi kunci publik baru.	Disarankan untuk menentukan baik kunci publik asli maupun kunci publik baru dalam metadata IdP Anda. Buat sertifikat baru tanpa menonaktifkan atau menghapus sertifikat asli. Unduh file metadata baru dan periksa apakah kunci publik asli dan kunci publik baru termasuk dalam file tersebut. Untuk beberapa IdP seperti Azure AD, sertifikat asli dan sertifikat baru termasuk dalam file metadata baru. Jika file metadata baru tidak mencakup kunci publik asli dan baru, tambahkan secara manual sertifikat asli dan baru ke file metadata baru. Unduh file metadata asli dari pengaturan SSO di konsol CloudSSO dan salin informasi elemen `X509Certificate`, yaitu informasi tentang sertifikat asli. Tambahkan informasi tersebut ke elemen `KeyDescriptor` di file metadata baru dan simpan modifikasi. Unggah file metadata baru ke pengaturan SSO di konsol CloudSSO. Aktifkan sertifikat baru dan nonaktifkan sertifikat asli dalam pengaturan SSO di IdP Anda.
File metadata gagal diunggah karena ukurannya terlalu besar.	Tunggu hingga proses pengunggahan selesai. Setelah selesai, unduh file metadata yang diunggah untuk memastikan bahwa pengunggahan berhasil.

Apa yang harus saya lakukan jika saya diberitahu bahwa parameter tidak ditentukan atau tidak valid dalam metadata IdP yang saya kelola sendiri?

Penyebab	Solusi
Parameter dalam metadata Anda tidak dikonfigurasi berdasarkan protokol SAML 2.0.	Konfigurasikan parameter berdasarkan protokol SAML 2.0. Untuk informasi lebih lanjut, kunjungi SAML 2.0.