Solucionar problemas en SAML - Códigos de error

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo > Autenticación del Portal de Trabajo > Autenticación con SAML > Temas relacionados >

Solucionar problemas en SAML - Códigos de error

Introducción

Cuando configura SAML 2.0 como su protocolo de autenticación, usted puede enfrentarse a distintos mensajes de error concernientes a dicha configuración. Este artículo muestra los posibles mensajes de error, así como su respectiva solución.

 

Antes de comenzar

Se recomienda habilitar las trazas de autenticación. Para habilitar las trazas, diríjase a su proyecto en Bizagi Studio. En la pestaña de Configuración, haga clic en Seguimiento.

 

TroubleshootingSAML_01

 

Después, habilite los logs para Authenticación -> Peticiones de usuario

 

TroubleshootingSAML_02

 

Solución de problemas de códigos de autenticación SAML

 

Código

Estado

Causa

Solución

3000

saml2_error

Cuando se intenta conectar con Proveedores de identidad (IdP) no soportados, aparece una excepción no controlada durante el proceso de configuración o en la recepción de mensajes SAML 2.0.

Si en las trazas se registra el error “Algoritmo especificado inválido”, verifique que el certificado cargado en Bizagi usado para firmar, soporte los algoritmos SHA-256, SHA-387 y SHA-512.

El soporte de estos algoritmos depende del Proveedor que se haya utilizado para crear el certificado. Si se usó el Proveedor “Microsoft Enhanced Cryptographic Provider v1.0” solamente se soportará SHA1.

 

Se recomienda usar el Proveedor “Microsoft Enhanced RSA and AES Cryptographic Provider", el cual permite el uso de algoritmos fuertes.

 

Para más información sobre proveedores Microsoft Cryptographic Service, haga clic aquí.

3001

binding_saml2_error

Ocurre cuando se registra un Binding desconocido, o cuando el Binding no es soportado para un IdP.

 

Bizagi soporta los siguientes Bindings para SSO y SLO:

• HTTP Redirect Binding

• HTTP POST Binding

 

Asegúrese de que el IdP esté usando el Binding correcto para Bizagi, ya que puede estar usando Bindings no soportados como HTTP Artifact Binding o SAML SOAP Binding.

3002

idp_endpoints_saml2_error

Los endpoints del IdP son nulos o no existen en el archivo de metadata del IdP. Esto puede ocurrir porque:

En la ruta Experto -> Seguridad -> Autenticación en Bizagi Studio, la ruta al archivo de metatdata del IdP está mal configurado.

El archivo de metadata del IdP está incompleto o tiene errores.

Verifique que el archivo de metadata que está usando en la configuración no tenga errores.

3003

service_provider_not_set_saml2_error

El proveedor de servicios es nulo o no ha sido configurado

El proveedor de servicios de Bizagi es Automation Server. Es necesario configurar toda la información correspondiente al proveedor de servicios en Bizagi Studio en la ruta Experto -> Seguridad -> Autenticación.

Asegúrese que las siguientes propiedades sean diligenciadas:

Nombre de la organización

Correo electrónico del contacto técnico

URL de la organización

URL del proveedor de servicio

3004

metadata_location_not_found_saml2_error

El directorio o la URL del archivo de metadata del IdP no puede ser localizado.

Verifique en Bizagi Studio en la ruta Experto -> Seguridad -> Autenticación, la propiedad Ruta de archivo de metadatos del proveedor de identidad. Asegúrese que la propiedad está bien configurada y que el archivo sea accesible para Bizagi.

3005

invalid_file_signature_saml2_error

La firma del archivo de metadata del IdP no puede ser verificada.

Asegúrese que el algoritmo utilizado por el IdP para la firma del archivo sea soportado por Bizagi. Los algoritmos soportados por Bizagi son SHA-1 y SHA-256

3006

metadata_configuration_saml2_error

Este error puede suceder por dos razones:

Bizagi no soporta el Binding usado.

La URI del IdP no es válida.

Verifique que en el IdP se hayan incluido los Bindings soportados por Bizagi. Bizagi soporta los siguientes Bindings para SSO y SLO:

• HTTP Redirect Binding

• HTTP POST Binding

 

Verifique en Bizagi Studio en la ruta Experto -> Seguridad -> Autenticación la propiedad URL del proveedor del servicio. Asegúrese que esta propiedad tiene la URL donde fue desplegado Bizagi.

3007

sso_binding_not_supported_saml2_error

El Binding usado para Single Sign On (SSO) no es soportado.

Verifique que en el IdP se hayan incluido los Bindings soportados por Bizagi para SSO. Bizagi soporta los siguientes Bindings para SSO:

• HTTP Redirect Binding

• HTTP POST Binding

3008

slo_binding_not_supported_saml2_error

El Binding usado para Single Log Out (SLO) no es soportado.

Verifique que en el IdP se hayan incluido los Bindings soportados por Bizagi para SLO. Bizagi soporta los siguientes Bindings para SLO:

• HTTP Redirect Binding

• HTTP POST Binding

3009

invalid_data_time_assertion_saml2_error

Se leyó la aserción en un tiempo inválido, por lo que no se cumple con la especificación SAML-Core. Esto puede suceder cuando:

La aserción se lee antes de la ventana de tiempo válida.

La aserción se lee después de la ventana de tiempo válida.

Asegúrese que la aserción se lea dentro de la ventana de tiempo permitida. Si se lee antes o después de que haya pasado la ventana de tiempo, el error persistirá.

Verifique que el IdP está generando los valores de tiempo en las aserciones como lo indica la sección 1.3.3 del documento de SAML-Core.

3011

metadata_idp_missing_entityid_saml2_error

El archivo de metadata del IdP no tiene el atributo entityID.

Asegúrese que el archivo de metadata del IdP incluya el atributo entityID.

3014

metadata_load_error_saml2_error

El archivo de metadata del IdP está vacío o tiene errores.

Verifique que el archivo de metadata del IdP:

No esté vacío

No tenga caracteres especiales

Tiene la estructura XML conforme las especificaciones de SAML 2.0

3015

saml2_configuration_not_found_error

La configuración de SAML 2.0 no se encuentra en la base de datos de Bizagi. Esto puede ocurrir por un error en la migración de información entre versiones de Bizagi, por errores en la metadata interna de Bizagi o si la base de datos se encuentra corrupta. Finalmente, también puede ocurrir si sólo hay un usuario en la base de datos y está intentando obtener la metadata de SAML de Bizagi. Se necesitan al menos dos usuarios activos en Bizagi para poder usar el protocolo SAML 2.0

Contacte el soporte técnico de Bizagi para solucionar este problema.

3016

private_key_not_found_error

No se encontró la llave privada del certificado.

Genere y cargue en Bizagi Studio el certificado que incluya la llave privada. Diríjase a Experto -> Seguridad -> Autenticación; en la propiedad Certificado digital para la firma. Después, configure la contraseña que protege la llave privada en la siguiente ruta: Experto -> Seguridad -> Autenticación en la propiedad Contraseña del certificado digital de firma.

3017

response_not_contain_an_InResponseTo_error

El mensaje de respuesta no contiene el atributo InResponseTto. Esto sucede cuando el mensaje enviado al endpoint /saml2/assertionConsumer no tiene la estructura correcta.

Identifique la IP o la URL desde la que se están enviando las peticiones a Bizagi y corrija el problema en la aplicación externa.

3019

status_assertion_saml2_error

Usted puede recibir alguna de las siguientes respuestas por parte del IdP:

urn:oasis:names:tc:SAML:2.0:status:Requester: la solicitud de SAML enviada no pudo ser procesada debido a un error en la creación del mensaje por parte de Bizagi.

urn:oasis:names:tc:SAML:2.0:status:Responder: la solicitud de SAML enviada no pudo ser procesada debido a un error en el IdP.

urn:oasis:names:tc:SAML:2.0:status:VersionMismatch: la solicitud de SAML enviada tiene una versión incorrecta o no soportada por el IdP.

Revise los logs de autenticación de Bizagi y los logs del IdP para determinar la causa del problema. Las posibles soluciones a este problema son:

Si el IdP no confía en el certificado usado por Bizagi, exporte las llaves públicas de los certificados e instálelas en el IdP.

Si el IdP no soporta el algoritmo de firma usado por Bizagi para firmar el certificado, asegúrese de configurar el mismo algoritmo en Bizagi y en el IdP.

Valide las configuraciones de Bizagi y del IdP.

3020

decrypted_assertion_error

No es posible desencriptar la aserción.

Verifique que esté usando la encripción de la aserción completa. Bizagi no soporta encripción por partes o de atributos.

3021

locate_assertion_decryption_error

No es posible localizar la llave para desencriptar la aserción. Esto sucede cuando el IdP envía una aserción a Bizagi con el elemento EncryptedAssertion, pero no es posible localizar el elemento EncryptedKey.

Asegúrese que el IdP tenga configurada correctamente la opción de encripción y que el certificado de encripción de Bizagi esté correctamente instalado en el IdP.

3022

format_saml2_error

La aserción no cumple con las validaciones de formato.

Revise los logs de autenticación de Bizagi y busque y corrija el formato del elemento que no se pudo validar.

3023

assertion_signature_could_not_be_verified_error

La firma de la aserción enviada por el IdP no pudo ser verificada.

Asegúrese que el algoritmo utilizado por el IdP para la firma del archivo de metadata sea soportado por Bizagi. Los algoritmos soportados por Bizagi son SHA-1 y SHA-256.

Asegúrese que el certificado usado para la firma sea válido y corresponda con el que se especificó en el archivo de metadata.

Verifique que el IdP tiene la configuración correcta para firmar los mensajes que envía a Bizagi.

3024

assertion_is_expired_error

La aserción expiró o no pudo ser validada. Esto sucede cuando el atributo NotOnOrAfter, del elemento SubjectConfirmation, no puede ser validado.

Revise la configuración del tiempo de expiración del IdP y ajústelo.

3026

assertion_must_contain_one_issuer_error

La aserción no cumple con el formato de validación, pues no incluye el elemento obligatorio <issuer>.

Verifique que el IdP incluya el elemento <issuer> cuando genere la aserción.

3029

assertion_name_id_not_found_error

El elemento subject de la aserción de respuesta no tiene el elemento NameID.

Asegúrese que el IdP incluya y mapee correctamente el elemento NameID en la aserción de respuesta. Este elemento debe tener el identificador del usuario y debe tener uno de los siguientes formatos:

dominio\NombreDeUsuario

NombreDeUsuario@dominio

3030

logout_saml2_error

No se puede cerrar la sesión, ya que esta no está activa.

 

La sesión de un usuario se identifica en Bizagi con el atributo SessionIndex, en el elemento AuthnStatement. Cuando un usuario cierra sesión, Bizagi envía al IdP el SessionIndex para identificar la sesión que debe cerrar. Sin embargo, el error ocurre cuando el IdP no puede encontrar el SessionIndex que Bizagi envió.

 

Esto puede pasar porque:

La sesión en el Portal de Trabajo se cerró automáticamente debido a su inactividad.

La URL del IdP cambió mientras los usuarios estaban usando el Portal de Trabajo.

Se reinició el IdP y no se persistió el estado de contextos o las sesiones en el servidor.

Limpie las cookies del navegador y vuelva a iniciar sesión.

3031

single_logout_unknown_idp_error

Se recibió una solicitud de cierre de sesión desde un IdP desconocido o que no es de confianza.

Asegúrese que el archivo de metadata del IdP no tenga errores y que las peticiones se estén haciendo desde el IdP correcto.

3032

signature_not_present_error

El mensaje entrante no fue firmado.

Asegúrese que todos los mensajes que envía el IdP a Bizagi sean firmados.

3033

unsupported_request_type_error

Se hizo una petición HTTP con un método no soportado. Bizagi soporta los métodos GET y POST. Otros métodos no son soportados.

Verifique que el IdP use un método soportado por Bizagi.

3035

logout_request_is_malformed_error

La petición de cierre de sesión está incompleta. Falta alguno de los siguientes parámetros: SAMLResponse o SAMLRequest.

Asegúrese que la petición de cierre de sesión se envíe al endpoint correcto y que los parámetros estén completos.

3036

signature_algorithm_not_supported_error

El algoritmo usado para firmar los mensajes y las aserciones no es soportado por Bizagi.

Asegúrese de usar un algoritmo soportado por Bizagi para la firma de mensajes. Los algoritmos soportados por Bizagi son SHA-1 y SHA-256.

3037

sha256_algorithm_saml2_error

El algoritmo SHA-256 es inválido o no es soportado.

Verifique que Bizagi esté usando la versión 4.5 del Framework de .NET. En versiones inferiores a 4.5, la validación de firmas con el algoritmo SHA-256 genera errores.

3038

encryption_key_not_found-error

El certificado de encripción no se encontró en la base de datos de Bizagi. Esto sucede cuando en Bizagi Studio se habilita la opción de encripción de aserciones, pero no se carga un certificado válido para hacer la encripción.

En Bizagi Studio, diríjase a la siguiente ruta: Experto -> Seguridad -> Autenticación y asegúrese que las propiedades Certificado digital para la encripción y Contraseña del certificado digital de firma estén debidamente diligenciados.

Tenga en cuenta que el certificado debe estar en formato P12 y debe tener la llave privada protegida por una contraseña.

3039

assertion_not_found_saml2

Bizagi recibió en el endpoint /saml2/assertionConsumer una solicitud sin una aserción o un token SAML.

Asegúrese que el proveedor de servicios en el IdP esté bien configurado.

3041

signing_certificate_not_found_saml2

No se encontró un certificado para firmar los mensajes generados por Bizagi.

En Bizagi Studio, diríjase a la siguiente ruta: Experto -> Seguridad -> Autenticación y asegúrese que las propiedades Certificado digital para firma y Contraseña del certificado digital de firma estén debidamente diligenciados.

3042

encryption_certifcate_not_found_saml2

No se encontró un certificado para encriptar los mensajes generados por Bizagi.

En Bizagi Studio, diríjase a la siguiente ruta: Experto -> Seguridad -> Autenticación y asegúrese que las propiedades Certificado digital para la encripción y Contraseña del certificado digital de encripción estén debidamente diligenciados.

3043

too_short_idle_session_timeout_configurated_in_bizagi

El tiempo de sesión configurado en Bizagi es inferior a 1.

Configure en Bizagi el tiempo de sesión con un valor igual o superior a 1.

1150

user_not_found_error

El usuario no existe en Bizagi

Los usuarios deben ser creados y sincronizados antes de que puedan ingresar al Portal de Trabajo. Para conocer las distintas maneras en las que los usuarios pueden sincronizarse, haga clic aquí.

1155

assertion_saml2_email_duplicate_error

La cuenta de email fue asignada a más de un usuario

Actualice la tabla WFUSER para que cada usuario tenga un correo electrónico único.

122

assertion_saml2_user_not_enabled_error

El usuario no está habilitado en Bizagi.

Inicie sesión con el usuario Administrador y habilite al usuario que presenta el error.

123

assertion_saml2_user_locked_account_error

El usuario está bloqueado en Bizagi.

Inicie sesión con el usuario Administrador y desbloquee al usuario que presenta el error.