Technologie

Wie behebe ich Probleme mit dem Login via Single Sign-On (SSO) in Fishbowl?

Melden
  1. Kurzüberblick und Ursachenfindung
  2. Prüfung der Konfiguration zwischen IdP und Fishbowl (SP)
  3. Zeit- und Uhr-Synchronisation prüfen
  4. Benutzerattribute und Mapping kontrollieren
  5. Zertifikate und Signaturen verifizieren
  6. Netzwerk, Firewall und Ports überprüfen
  7. Browser- und Client-seitige Fehler ausschließen
  8. Logging, Fehlermeldungen und Debugging
  9. Schritte zur Behebung und Prävention

Kurzüberblick und Ursachenfindung

Probleme beim Login via Single Sign-On (SSO) in Fishbowl können verschiedene Ursachen haben: falsche Konfiguration auf Seiten des Identity Providers (IdP) oder des Service Providers (SP), Zertifikatsprobleme, Zeitabweichungen zwischen Servern, Browser- oder Cache-Probleme, Netzwerk- oder Firewall-Einstellungen sowie Rechte- oder Mapping-Fehler bei Benutzerattributen. Beginnen Sie mit einer systematischen Fehleranalyse: notieren Sie die exakte Fehlermeldung, Zeitpunkt des Fehlversuchs, betroffene Nutzer und ob der Fehler reproduzierbar ist.

Prüfung der Konfiguration zwischen IdP und Fishbowl (SP)

Vergleichen Sie die SSO-/SAML-Einstellungen auf beiden Seiten. Stellen Sie sicher, dass die Assertion Consumer Service (ACS)-URL und die Entity-ID exakt mit den Angaben in Fishbowl übereinstimmen. Überprüfen Sie das hochgeladene Zertifikat des Identity Providers und das Zertifikat, das Fishbowl verwendet, auf Gültigkeit und Übereinstimmung. Achten Sie darauf, ob Signaturen und Verschlüsselung erwartet werden und ob beide Seiten dieselben Algorithmen (z. B. SHA-256) unterstützen. Prüfen Sie außerdem das SAML-Protokoll (z. B. SAML 2.0) und die verwendeten Endpunkte (Single Sign-On URL, Single Logout URL).

Zeit- und Uhr-Synchronisation prüfen

SAML-Tokens sind zeitgebunden. Stellen Sie sicher, dass die Systemzeit von Fishbowl-Server und IdP-Server synchronisiert ist (NTP). Selbst wenige Minuten Abweichung können dazu führen, dass Assertions als ungültig abgelehnt werden. Prüfen Sie außerdem die Gültigkeitsdauer (NotBefore/NotOnOrAfter) in der Assertion.

Benutzerattribute und Mapping kontrollieren

SSO funktioniert nur, wenn die Attribute in der Assertion mit dem übereinstimmen, was Fishbowl erwartet. Vergewissern Sie sich, dass Benutzername, E-Mail oder eine andere eindeutige ID korrekt benannt und übertragen werden. Achten Sie auf Groß-/Kleinschreibung, Domänenpräfixe und Namenskonventionen. Prüfen Sie Gruppen- oder Rollen-Mapping, falls Fishbowl Zugriffsrechte anhand solcher Attribute zuweist.

Zertifikate und Signaturen verifizieren

Vergewissern Sie sich, dass das verwendete Zertifikat nicht abgelaufen ist und die Signaturprüfung auf Fishbowl-Seite korrekt eingerichtet ist. Fehlende oder falsche Zertifikate, Probleme mit Zertifikatketten oder veraltete Hash-Algorithmen führen oft zu Authentifizierungsfehlern. Wenn möglich, testen Sie temporär eine signaturlose Assertion (nur zu Diagnosezwecken) oder erneuern das Zertifikat und laden es neu hoch.

Netzwerk, Firewall und Ports überprüfen

Stellen Sie sicher, dass die für SSO erforderlichen Endpunkte vom Client und vom Fishbowl-Server aus erreichbar sind. Firewalls oder Proxys können Weiterleitungen, POST-Requests oder bestimmte Header blockieren. Prüfen Sie auch TLS/SSL-Konfigurationen: veraltete Protokolle oder Zwang zu bestimmten Cipher-Suites können die Verbindung verhindern.

Browser- und Client-seitige Fehler ausschließen

Manche Probleme entstehen durch Browser-Caches, Cookies, blockierte Third-Party-Cookies oder Erweiterungen, die SSO-Weiterleitungen stören. Testen Sie den Login in einem Inkognito-/Privatfenster oder mit einem anderen Browser. Löschen Sie Cache und Cookies, und geben Sie eine neue Sitzung frei, um Redirect-Schleifen oder ungültige Sessions auszuschließen.

Logging, Fehlermeldungen und Debugging

Aktivieren Sie erweitertes Logging auf Fishbowl- und IdP-Seite, falls möglich, und analysieren Sie SAML-Response, Statuscodes und Fehlermeldungen. Verwenden Sie SAML-Debugging-Tools oder Browser-Entwicklertools, um HTTP-Requests und Redirects zu verfolgen. Achten Sie auf StatusCodes wie AuthnFailed, InvalidNameIDPolicy oder SignatureInvalid.

Schritte zur Behebung und Prävention

Korrigieren Sie fehlerhafte URLs, erneuern Sie abgelaufene Zertifikate, synchronisieren Sie die Uhrzeit, passen Sie Attribut-Mappings an und testen Sie nach jeder Änderung schrittweise. Dokumentieren Sie die funktionierende Konfiguration und richten Sie Monitoring/Alarme für Zertifikatsablauf und Zeitabweichungen ein. Falls intern nicht lösbar, sammeln Sie Logs, SAML-Response und Zeitstempel und kontaktieren Sie den Fishbowl-Support oder Ihren IdP-Anbieter mit diesen Informationen.

0