Códigos de Error de SAML

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio Collaboration Services > Suscripción Enterprise > Accediendo a portales y aplicaciones > Cómo administrar proveedor de identidad > Ejemplos con SAML 2.0 >

Códigos de Error de SAML

Introducción

Cuando configura SAML 2.0 como su protocolo de autenticación, usted puede enfrentarse a distintos mensajes de error concernientes a dicha configuración. Este artículo muestra los posibles mensajes de error, así como su respectiva solución.

 

Solución de problemas de códigos de autenticación SAML

 

Código

Estado

Causa

Solución

3000

saml2_error

Cuando se intenta conectar con Proveedores de identidad (IdP) no soportados, aparece una excepción no controlada durante el proceso de configuración o en la recepción de mensajes SAML 2.0.

Si en las trazas se registra el error “Algoritmo especificado inválido”, verifique que el certificado cargado en Bizagi usado para firmar, soporte los algoritmos SHA-256 o SHA-512.

También, verifique que el certificado cargado en Bizagi para las firmas soporte los algoritmos SHA-256, SHA-384 y SHA-512

El soporte de estos algoritmos depende del Proveedor que se haya utilizado para crear el certificado. Si se usó el Proveedor “Microsoft Enhanced Cryptographic Provider v1.0” solamente se soportará SHA-1.

 

Se recomienda usar el Proveedor “Microsoft Enhanced RSA and AES Cryptographic Provider", el cual permite el uso de algoritmos fuertes.

 

Para más información sobre proveedores Microsoft Cryptographic Service, haga clic aquí.

 

Si el error que se muestra es "No identityProvider supporting SAML binding REDIRECT found in metadata", verifique que el endpoint para el Single Log Out este configurado correctamente en el IdP, ya que Bizagi Accounts requiere que los endpoints de cierre de sesión estén configurados en el IdP.

3001

binding_saml2_error

Ocurre cuando se registra un Binding desconocido, o cuando el Binding no es soportado para un IdP.

 

Bizagi soporta los siguientes Bindings para SSO y SLO:

• HTTP Redirect Binding

• HTTP POST Binding

 

Asegúrese de que el IdP esté usando el Binding correcto para Bizagi, ya que puede estar usando Bindings no soportados como HTTP Artifact Binding o SAML SOAP Binding.

3002

idp_endpoints_saml2_error

Los endpoints del IdP son nulos o no existen en el archivo de metadata del IdP. Esto puede ocurrir porque:

La ruta al archivo de metatdata del IdP está mal configurado.

El archivo de metadata del IdP está incompleto o tiene errores.

Verifique que el archivo de metadata que está usando en la configuración no tenga errores.

3003

service_provider_not_set_saml2_error

El proveedor de servicios es nulo o no ha sido configurado

El proveedor de servicios de Bizagi es Bizagi Cloud. Este parámetro está configurado por defecto. Sin embargo, si se presenta este error, es necesario configurar toda la información correspondiente al proveedor de servicios en Bizagi.

Asegúrese que las siguientes propiedades sean diligenciadas:

Nombre de la organización

Correo electrónico del contacto técnico

URL de la organización

URL del proveedor de servicio

3004

metadata_location_not_found_saml2_error

El directorio o la URL del archivo de metadata del IdP no puede ser localizado.

Verifique la propiedad Ruta de archivo de metadatos del proveedor de identidad. Asegúrese que la propiedad está bien configurada y que el archivo sea accesible para Bizagi.

3005

invalid_file_signature_saml2_error

La firma del archivo de metadata del IdP no puede ser verificada.

Asegúrese que el algoritmo utilizado por el IdP para la firma del archivo sea soportado por Bizagi. Los algoritmos soportados por Bizagi son SHA-1 y SHA-256.

Asimismo, si el archivo fue editado, asegúrese de que no tiene ningún error.

3006

metadata_configuration_saml2_error

Este error puede suceder por dos razones:

Bizagi no soporta el Binding usado.

La URI del IdP no es válida.

Verifique que en el IdP se hayan incluido los Bindings soportados por Bizagi. Bizagi soporta los siguientes Bindings para SSO y SLO:

• HTTP Redirect Binding

• HTTP POST Binding

 

Verifique la propiedad URL del proveedor del servicio.

3007

sso_binding_not_supported_saml2_error

El Binding usado para Single Sign On (SSO) no es soportado.

Verifique que en el IdP se hayan incluido los Bindings soportados por Bizagi para SSO. Bizagi soporta los siguientes Bindings para SSO:

• HTTP Redirect Binding

• HTTP POST Binding

3008

slo_binding_not_supported_saml2_error

El Binding usado para Single Log Out (SLO) no es soportado.

Verifique que en el IdP se hayan incluido los Bindings soportados por Bizagi para SLO. Bizagi soporta los siguientes Bindings para SLO:

• HTTP Redirect Binding

• HTTP POST Binding

3009

invalid_data_time_assertion_saml2_error

Se leyó la aserción en un tiempo inválido, por lo que no se cumple con la especificación SAML-Core. Esto puede suceder cuando:

La aserción se lee antes de la ventana de tiempo válida.

La aserción se lee después de la ventana de tiempo válida.

Asegúrese que la aserción se lea dentro de la ventana de tiempo permitida. Si se lee antes o después de que haya pasado la ventana de tiempo, el error persistirá.

Verifique que el IdP está generando los valores de tiempo en las aserciones como lo indica la sección 1.3.3 del documento de SAML-Core.

3011

metadata_idp_missing_entityid_saml2_error

El archivo de metadata del IdP no tiene el atributo entityID.

Asegúrese que el archivo de metadata del IdP incluya el atributo entityID con el atributo Server ID.

3014

metadata_load_error_saml2_error

El archivo de metadata del IdP no se puede cargar. Esto sucede porque está vacío o tiene errores.

Verifique que el archivo de metadata del IdP:

No esté vacío

No tenga caracteres especiales

Tiene la estructura XML conforme las especificaciones de SAML 2.0

3015

saml2_configuration_not_found_error

La configuración de SAML 2.0 no se encuentra en la base de datos de Bizagi. Esto puede ocurrir por un error en la migración de información entre versiones de Bizagi, por errores en la metadata interna de Bizagi o si la base de datos se encuentra corrupta. Finalmente, también puede ocurrir si sólo hay un usuario en la base de datos y está intentando obtener la metadata de SAML de Bizagi. Se necesitan al menos dos usuarios activos en Bizagi para poder usar el protocolo SAML 2.0

Contacte el soporte técnico de Bizagi para solucionar este problema.

3016

private_key_not_found_error

No se encontró la llave privada del certificado. Esto se debe a que el certificado se cargó sólo con la llave pública y no con la llave privada.

Genere y cargue en Bizagi Studio el certificado que incluya la llave privada. Después, configure la contraseña que protege la llave privada.

3017

response_not_contain_an_InResponseTo_error

El mensaje de respuesta no contiene el atributo InResponseTto. Esto sucede cuando el mensaje enviado al endpoint /saml2/assertionConsumer no tiene la estructura correcta.

Identifique la IP o la URL desde la que se están enviando las peticiones a Bizagi y corrija el problema en la aplicación externa.

3019

status_assertion_saml2_error

Usted puede recibir alguna de las siguientes respuestas por parte del IdP:

urn:oasis:names:tc:SAML:2.0:status:Requester: la solicitud de SAML enviada no pudo ser procesada debido a un error en la creación del mensaje por parte de Bizagi.

urn:oasis:names:tc:SAML:2.0:status:Responder: la solicitud de SAML enviada no pudo ser procesada debido a un error en el IdP.

urn:oasis:names:tc:SAML:2.0:status:VersionMismatch: la solicitud de SAML enviada tiene una versión incorrecta o no soportada por el IdP.

Revise los logs de autenticación del IdP para determinar la causa del problema. Las posibles soluciones a este problema son:

Si el IdP no confía en el certificado usado por Bizagi, exporte las llaves públicas de los certificados e instálelas en el IdP.

Si el IdP no soporta el algoritmo de firma usado por Bizagi para firmar el certificado, asegúrese de configurar el mismo algoritmo en Bizagi y en el IdP.

Valide las configuraciones de Bizagi y del IdP.

3020

decrypted_assertion_error

No es posible desencriptar la aserción.

Verifique que esté usando la encripción de la aserción completa. Bizagi no soporta encripción por partes o de atributos.

3021

locate_assertion_decryption_error

No es posible localizar la llave para desencriptar la aserción. Esto sucede cuando el IdP envía una aserción a Bizagi con el elemento EncryptedAssertion, pero no es posible localizar el elemento EncryptedKey.

Asegúrese que el IdP tenga configurada correctamente la opción de encripción y que el certificado de encripción de Bizagi esté correctamente instalado en el IdP.

3022

format_saml2_error

La aserción no cumple con las validaciones de formato.

Revise y corrija el formato del elemento que no se pudo validar.

3023

assertion_signature_could_not_be_verified_error

La firma de la aserción enviada por el IdP no pudo ser verificada.

Asegúrese que el algoritmo utilizado por el IdP para la firma del archivo de metadata sea soportado por Bizagi. Los algoritmos soportados por Bizagi son SHA-1 y SHA-256.

Asegúrese que el certificado usado para la firma sea válido y corresponda con el que se especificó en el archivo de metadata.

Verifique que el IdP tiene la configuración correcta para firmar los mensajes que envía a Bizagi.

3024

assertion_is_expired_error

La aserción expiró o no pudo ser validada. Esto sucede cuando el atributo NotOnOrAfter, del elemento SubjectConfirmation, no puede ser validado, lo cual ocurre por alguna de las siguientes razones:

El tiempo de expiración de la aserción es muy corto.

El tiempo configurado es 0.

Se está usando una aserción que ya expiró.

Revise la configuración del tiempo de expiración del IdP y ajústelo.

3026

assertion_must_contain_one_issuer_error

La aserción no cumple con el formato de validación, pues no incluye el elemento obligatorio <issuer>.

Verifique que el IdP incluya el elemento <issuer> cuando genere la aserción.

3029

assertion_name_id_not_found_error

El elemento subject de la aserción de respuesta no tiene el elemento NameID. Este elemento es necesario para identificar al usuario y debe ser validado por Bizagi.

Asegúrese que el IdP incluya y mapee correctamente el elemento NameID en la aserción de respuesta. Este elemento debe tener el email del usuario.

3030

logout_saml2_error

No se puede cerrar la sesión, ya que esta no está activa.

 

La sesión de un usuario se identifica en Bizagi con el atributo SessionIndex, en el elemento AuthnStatement. Cuando un usuario cierra sesión, Bizagi envía al IdP el SessionIndex para identificar la sesión que debe cerrar. Sin embargo, el error ocurre cuando el IdP no puede encontrar el SessionIndex que Bizagi envió.

 

Esto puede pasar porque:

La sesión en el Portal se cerró automáticamente debido a su inactividad.

La URL del IdP cambió mientras los usuarios estaban usando el Portal.

Se reinició el IdP y no se persistió el estado de contextos o las sesiones en el servidor.

Limpie las cookies del navegador y vuelva a iniciar sesión.

3031

single_logout_unknown_idp_error

Se recibió una solicitud de cierre de sesión desde un IdP desconocido o que no es de confianza. La petición enviada a Bizagi debe venir desde un IdP registrado.

Asegúrese que el archivo de metadata del IdP no tenga errores y que las peticiones se estén haciendo desde el IdP correcto.

3032

signature_not_present_error

El mensaje entrante no fue firmado.

Asegúrese que todos los mensajes que envía el IdP a Bizagi sean firmados.

3033

unsupported_request_type_error

Se hizo una petición HTTP con un método no soportado. Bizagi soporta los métodos GET y POST. Otros métodos no son soportados.

Verifique que el IdP use un método soportado por Bizagi.

3035

logout_request_is_malformed_error

La petición de cierre de sesión está incompleta. Falta alguno de los siguientes parámetros: SAMLResponse o SAMLRequest.

Asegúrese que la petición de cierre de sesión se envíe al endpoint correcto y que los parámetros estén completos.

3036

signature_algorithm_not_supported_error

El algoritmo usado para firmar los mensajes y las aserciones no es soportado por Bizagi.

Asegúrese de usar un algoritmo soportado por Bizagi para la firma de mensajes. Los algoritmos soportados por Bizagi son SHA-1 y SHA-256.

3037

sha256_algorithm_saml2_error

El algoritmo SHA-256 es inválido o no es soportado.

Verifique que Bizagi esté usando la versión 4.5 del Framework de .NET. En versiones inferiores a 4.5, la validación de firmas con el algoritmo SHA-256 genera errores.

3038

encryption_key_not_found-error

El certificado de encripción no se encontró en la base de datos de Bizagi. Esto sucede cuando en Bizagi se habilita la opción de encripción de aserciones, pero no se carga un certificado válido para hacer la encripción.

Asegúrese que las propiedades Certificado digital para la encripción y Contraseña del certificado digital de firma estén debidamente diligenciados.

Tenga en cuenta que el certificado debe estar en formato P12 o PFX y debe tener la llave privada protegida por una contraseña.

3039

assertion_not_found_saml2

Bizagi recibió en el endpoint /saml2/assertionConsumer una solicitud sin una aserción o un token SAML.

Asegúrese que el proveedor de servicios en el IdP esté bien configurado.

3041

signing_certificate_not_found_saml2

No se encontró un certificado para firmar los mensajes generados por Bizagi.

Genere y cargue en Bizagi Studio el certificado que incluya la llave privada. Después, asegúrese que las propiedades Certificado digital para firma y Contraseña del certificado digital de firma estén debidamente diligenciados.

3042

encryption_certifcate_not_found_saml2

No se encontró un certificado para encriptar los mensajes generados por Bizagi.

Asegúrese que las propiedades Certificado digital para la encripción y Contraseña del certificado digital de encripción estén debidamente diligenciados.

3043

too_short_idle_session_timeout_configurated_in_bizagi

El tiempo de sesión configurado en Bizagi es inferior a 1.

Configure en Bizagi el tiempo de sesión con un valor igual o superior a 1.

1150

user_not_found_error

El usuario no existe en Bizagi

Los usuarios deben ser creados antes de que puedan ingresar al Portal de Trabajo.

1155

assertion_saml2_email_duplicate_error

La cuenta de email fue asignada a más de un usuario

Asegurse que cada usuario tenga un correo electrónico único.

122

assertion_saml2_user_not_enabled_error

El usuario no está habilitado en Bizagi.

Inicie sesión con el usuario Administrador en el Customer Portal y habilite al usuario que presenta el error.

123

assertion_saml2_user_locked_account_error

El usuario está bloqueado en Bizagi.

Contacte Soporte de Bizagi.

124

forgot_password_unsupported

 

 

La funcionalidad de olivdó su contraseña no está soporatda.

Acceda a la administración de su cuenta directamente desde su proveedor de identidad, por ejemplo, Microsoft (no desde el portal de trabajo de Bizagi), y seleccione la opción Olvidé mi Contraseña desde allí. O comuníquese con el soporte de su proveedor de identidad.