Penyebab Kesalahan SSO dan Prinsip Diagnostik-RAM-Alibaba Cloud

Topik ini menjawab pertanyaan umum mengenai Single Sign-On (SSO) di Resource Access Management (RAM).

Bagaimana cara melihat respons SAML di Google Chrome?

Jika terjadi masalah selama proses SSO, Anda dapat memeriksa respons Security Assertion Markup Language (SAML) di Google Chrome untuk pemecahan masalah. Langkah-langkahnya bervariasi tergantung versi browser. Contoh berikut menggunakan Google Chrome 108.0.5359.125 (64-bit).

Tekan F12 untuk membuka DevTools.
Klik Network dan aktifkan Preserve log.
Lakukan proses SSO kembali untuk mereproduksi masalah tersebut.
Cari entri sso dalam log pada tab Network. Klik entri yang relevan, lalu buka tab Payload untuk melihat respons SAML.

Apa yang harus saya lakukan jika muncul pesan kesalahan "The user does not exist" selama user-based SSO?

Penyebab	Solusi
Alibaba Cloud menggunakan User Principal Name (UPN) untuk mengidentifikasi RAM user. Respons SAML dari identity provider (IdP) Anda harus mencantumkan UPN dari RAM user tersebut. Akhiran UPN dapat berupa alias domain, nama domain tambahan, atau nama domain default. Jika akhiran username pengguna di IdP Anda berbeda dari akhiran UPN RAM user, pencocokan akan gagal. Untuk informasi lebih lanjut, lihat bagian NameID dan NameID example dalam respons SAML untuk user-based SSO.	Tentukan nama domain tambahan agar akhiran UPN RAM user sesuai dengan akhiran username pengguna di IdP Anda. Untuk informasi lebih lanjut, lihat Konfigurasi pengaturan SAML Alibaba Cloud untuk role-based SSO.
Tidak ada RAM user yang dibuat di RAM, atau username RAM user yang dibuat berbeda dari username pengguna di IdP Anda.	Ubah username RAM user agar sesuai dengan username pengguna di IdP Anda. Username RAM user dapat memiliki panjang hingga 64 karakter dan hanya boleh berisi huruf, angka, `tanda hubung (-), garis bawah (_), dan titik (.)`. Username pengguna di IdP Anda juga harus memenuhi persyaratan tersebut. Jika tidak, gunakan salah satu metode berikut: Ubah username pengguna di IdP Anda agar sesuai dengan persyaratan tersebut. Ubah bidang yang secara unik mengidentifikasi pengguna dalam pengaturan SSO IdP Anda. Misalnya, gunakan alamat email pengguna yang unik dan tidak mengandung karakter khusus. Konfigurasikan aturan konversi pemetaan username dalam pengaturan SSO IdP Anda.
Pengguna gagal disinkronkan menggunakan System for Cross-domain Identity Management (SCIM).	Periksa log sinkronisasi SCIM di IdP Anda dan perbaiki masalah tersebut.
UPN pengguna di IdP Anda berbeda dari UPN yang disinkronkan ke RAM. Kemungkinan penyebabnya: Username pengguna yang disinkronkan ke RAM melalui SCIM tidak menggunakan UPN. Aturan konversi pemetaan username dikonfigurasikan dalam pengaturan sinkronisasi SCIM.	Pastikan aturan konversi dalam pengaturan SSO IdP Anda sama dengan aturan konversi dalam pengaturan sinkronisasi SCIM.
Sub-elemen `Audience` dalam elemen `Conditions` pada respons SAML diatur ke nilai yang tidak valid, khususnya nilai `accountId` yang salah.	Dalam respons SAML, temukan sub-elemen `AudienceRestriction` dalam elemen `Conditions` dan pastikan sub-elemen tersebut berisi `Audience` dengan nilai `https://signin-intl.aliyun.com/${accountId}/saml/SSO`, di mana `${accountId}` adalah ID Akun Alibaba Cloud. Beberapa IdP menggunakan sub-elemen Audience URL. Pastikan nilainya benar.

Apa yang harus saya lakukan jika muncul pesan kesalahan "NoPermission.NotTrusted" selama role-based SSO?

Penyebab

Solusi

Dalam elemen AttributeStatement respons SAML, cari elemen Attribute yang atribut Name-nya diatur ke https://www.aliyun.com/SAML-Role/Attributes/Role. Nilai elemen Attribute tersebut merupakan kombinasi dari nama RAM role dan nama IdP Anda. Jika nama RAM role dan nama IdP Anda tidak ada di Alibaba Cloud, atau IdP yang dikonfigurasikan dalam kebijakan kepercayaan RAM role berbeda dengan IdP dalam nilai atribut Name, pesan kesalahan tersebut akan muncul. Untuk informasi lebih lanjut, lihat respons SAML untuk role-based SSO.

Ubah nama RAM role di Alibaba Cloud atau nama IdP Anda untuk memastikan bahwa nama RAM role di Alibaba Cloud atau nama IdP Anda sama dengan nama RAM role atau nama IdP dalam respons SAML. Untuk informasi lebih lanjut, lihat Konfigurasi pengaturan SAML Alibaba Cloud untuk role-based SSO dan Konfigurasi Alibaba Cloud sebagai SP tepercaya untuk role-based SSO.
Ubah kebijakan kepercayaan RAM role untuk memastikan bahwa nama IdP yang ditentukan dalam kebijakan kepercayaan RAM role sama dengan nama sebenarnya dari IdP. Untuk informasi lebih lanjut, lihat Contoh 3: Mengubah entitas tepercaya RAM role menjadi IdP.

Apa yang harus saya lakukan jika muncul pesan kesalahan "Role attribute error" selama role-based SSO?

Penyebab	Solusi
Elemen `Attribute` yang atribut `Name`-nya diatur ke `https://www.aliyun.com/SAML-Role/Attributes/Role` tidak dikonfigurasikan atau tidak valid di IdP Anda.	Ubah konfigurasi elemen `Attribute` di IdP Anda. Untuk informasi lebih lanjut, lihat respons SAML untuk role-based SSO.

Apa yang harus saya lakukan jika muncul pesan kesalahan "InvalidParameter.RoleSessionName" selama role-based SSO?

Penyebab	Solusi
Elemen `Attribute` dengan atribut `Name` bernilai `https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName` tidak valid di IdP Anda.	Periksa dan perbarui konfigurasi elemen `Attribute` di IdP Anda. Pastikan elemen tersebut tersedia dan dikonfigurasi dengan benar. Nilai elemen `Attribute` harus terdiri dari 2 hingga 64 karakter, serta hanya boleh berisi huruf, angka, dan karakter khusus berikut: `- _ . @ =`. Untuk informasi selengkapnya, lihat respons SAML untuk role-based SSO.
Anda tidak menetapkan nilai untuk atribut yang dipetakan ke elemen RoleSessionName di IdP untuk pengguna yang sedang masuk. Misalnya, atribut Email ditetapkan untuk RoleSessionName di IdP, tetapi nilai atribut Email tidak ditentukan untuk pengguna tersebut.	Pastikan atribut untuk RoleSessionName telah ditetapkan di IdP dan nilai atribut tersebut tersedia untuk pengguna yang sedang masuk.

Apa yang harus saya lakukan jika muncul pesan kesalahan "The assertion signature is invalid" dan "The assertion signature is invalid or Sigin token expired" saat masuk SSO?

Penyebab	Solusi
Pasangan kunci privat-publik yang digunakan untuk tanda tangan di IdP Anda telah diputar, tetapi metadata IdP di Alibaba Cloud belum diperbarui.	Perbarui metadata IdP Anda di Alibaba Cloud dengan mengunduh file metadata terbaru dari IdP Anda, lalu mengunggahnya ke Alibaba Cloud.
Pasangan kunci privat-publik di IdP Anda telah diputar dan metadata IdP di Alibaba Cloud telah diperbarui, tetapi selama proses rotasi, kunci privat asli masih digunakan di IdP Anda, sedangkan metadata di Alibaba Cloud hanya berisi kunci publik baru.	Disarankan untuk menyertakan kunci publik asli dan kunci publik baru dalam metadata IdP Anda. Buat sertifikat baru tanpa menonaktifkan atau menghapus sertifikat asli. Unduh file metadata baru dan pastikan kunci publik asli dan kunci publik baru termasuk di dalamnya. Untuk beberapa IdP seperti Azure AD, sertifikat asli dan baru otomatis disertakan dalam file metadata baru. Jika file metadata baru tidak mencakup kedua kunci publik tersebut, tambahkan sertifikat asli dan baru secara manual. Unduh file metadata asli dari pengaturan SSO di Konsol RAM, salin informasi elemen `X509Certificate` (sertifikat asli), lalu sisipkan ke elemen `KeyDescriptor` dalam file metadata baru dan simpan perubahannya. Unggah file metadata baru ke pengaturan SSO di Konsol RAM. Aktifkan sertifikat baru dan nonaktifkan sertifikat asli di pengaturan SSO IdP Anda.
File metadata gagal diunggah karena ukurannya terlalu besar.	Tunggu hingga proses unggah selesai, lalu unduh kembali file metadata yang diunggah untuk memverifikasi keberhasilannya.

Apa yang harus saya lakukan jika saya mendapatkan prompt bahwa parameter tidak ditentukan atau tidak valid dalam metadata IdP yang dikelola sendiri?

Penyebab	Solusi
Parameter dalam metadata Anda tidak dikonfigurasikan sesuai protokol SAML 2.0.	Konfigurasikan parameter sesuai protokol SAML 2.0. Untuk informasi lebih lanjut, kunjungi SAML 2.0.