Fehlerbehebung bei SSO
Erfahren Sie, wie Sie häufige Fehler beheben, die bei der Konfiguration von SSO auftreten können.
Wenn Sie SSO für Ihr Konto einrichten, können Sie Ihre SSO-Konfiguration testen, bevor Sie sie speichern, um eine Fehlkonfiguration von SSO zu verhindern und Ihre Nutzer/innen auszuschließen. Wenn der Testassistent Fehler erkennt, verwenden Sie dieses Handbuch, um diese zu verstehen und zu beheben.
| Fehler | Beschreibung | Auflösung |
|---|---|---|
| Die SAML-Anfrage ist abgelaufen | Die SAML-Anfrage enthielt einen Zeitstempel, der nicht mehr gültig ist. SAML-Anfragen sind in der Regel zeitkritisch, um sicherzustellen, dass sich der/die Nutzer/in kürzlich authentifiziert hat. | Versuchen Sie, sich erneut anzumelden, um eine neue SAML-Assertion von Ihrem Identitätsanbieter zu generieren. |
| Ungültige SAML-Antwort | Die vom Identitätsanbieter (IdP) empfangene SAML-Antwort entspricht nicht dem erwarteten Format oder enthält falsche Informationen. | Überprüfen Sie die SAML-Antwort mit Tools wie SAML Tracer (für Chrome) oder einem ähnlichen Tool. |
| Ungültige Aussteller-ID | Die Aussteller-ID (auch Unternehmens-ID genannt) in der SAML-Antwort stimmt nicht mit der in Stripe konfigurierten Aussteller-ID überein. | Melden Sie sich bei Ihrem Identitätsanbieter an und gehen Sie zu den Integrationseinstellungen. Bestätigen Sie, dass die Aussteller-ID für Ihre Stripe-App mit der Aussteller-ID übereinstimmt, die Sie in Stripe konfiguriert haben. |
| Ungültige URL des Identitätsanbieters | Die in Stripe konfigurierte Identitätsprovider-URL, die Nutzer/innen zur Anmeldung beim Identitätsanbieter leitet, ist falsch oder nicht erreichbar. | Melden Sie sich bei Ihrem Identitätsanbieter an und gehen Sie zu den Integrationseinstellungen. Bestätigen Sie, dass die Identitätsanbieter-URL für Ihre Stripe-App mit Ihrer Konfiguration in Stripe übereinstimmt. |
| Ungültiges Identitätsanbieterzertifikat | Das vom Identitätsanbieter bereitgestellte Zertifikat ist ungültig oder nicht vertrauenswürdig. | Vergewissern Sie sich, dass Sie das richtige IdP-Zertifikat verwenden. Das neueste Zertifikat finden Sie häufig im IdP-Dashboard unter den Sicherheitseinstellungen. Wenn sich das Zertifikat geändert hat, laden Sie das neue Zertifikat herunter und ersetzen Sie das vorhandene Zertifikat in Ihrer SSO-Konfiguration. |
| Nutzer/in gehört nicht zur verifizierten Domain | Der/die Nutzer/in, der/die versucht, sich zu authentifizieren, gehört nicht zur zulässigen Domain. | Überprüfen Sie die Domain, die mit der E-Mail-Adresse des Nutzers/der Nutzerin verknüpft ist. Wenn ihnen Zugriff gewährt werden muss, überprüfen Sie ihre Kontokonfiguration im Identitätsanbieter. Stellen Sie sicher, dass die E-Mail-Adresse des Nutzers/der Nutzerin mit der für SSO zulässigen Domain übereinstimmt. Wenn Sie Änderungen vornehmen müssen, aktualisieren Sie das Konto des Nutzers/der Nutzerin im IdP. |
| Für den/die Nutzer/in wurden keine Rollen gefunden | In der SAML-Antwort für den/die Nutzer/in wurden keine Rollen gefunden. | Stellen Sie sicher, dass der Identitätsanbieter so konfiguriert ist, dass er Rollen-Assertions für den/die Nutzer/in sendet. Überprüfen Sie die Rollen, die dem/der Nutzer/in im IdP zugeordnet sind, und stellen Sie sicher, dass sie ordnungsgemäß zugewiesen sind. Eine Liste der verfügbaren Rollen und deren Konfiguration finden Sie in unserer Dokumentation zu Rollen. |
| Ungültige Rollenzuweisung vom Identitätsanbieter | Die Rollen-Assertion in der SAML-Antwort fehlt oder ist ungültig. | Bestätigen Sie, dass Ihr Identitätsanbieter zum Senden der erforderlichen Rollen-Assertions eingerichtet ist. Überprüfen Sie die Konfigurations- und Rollenzuordnungen des IdP. Wenn Rollen-Assertions fehlen, lesen Sie in der IdP-Dokumentation nach oder wenden Sie sich an den IdP-Support, um zu erfahren, wie Sie sie richtig konfigurieren können. Ausführliche Anweisungen finden Sie in unserem Leitfaden zu Rollen-Assertions. |
Andere häufige Fehler
Bei den folgenden Beispielen handelt es sich um zusätzliche Fehlermeldungen, die auftreten können, sowie um mögliche Lösungen.
Ihren App-Fehler konfigurieren
Wenn Sie Ihre Anwendung konfigurieren, wird möglicherweise eine Fehlermeldung angezeigt, die auf ein Problem mit der Authentifizierung hinweist:
{"error":{"message":"Required field","param":"RelayState"}}
Dies könnte darauf hindeuten, dass Sie die Authentifizierung von einem Identitätsanbieter starten, der die vom Dienstleister initiierte Authentifizierung nicht unterstützt. Wir unterstützen nur die vom Identitätsanbieter initiierte Authentifizierung, bei der der Identitätsanbieter auch die vom Dienstleister initiierte Authentifizierung unterstützt. Dieses Problem kann auch auftreten, wenn Ihr Identitätsanbieter den Parameter RelayState aus der Authentifizierungsanfrage nicht korrekt mit Ihrer Assertion zurückgibt.
Fehler bei der Anmeldung bei Stripe
Bei der Anmeldung bei Stripe wird möglicherweise folgende Fehlermeldung angezeigt:
SAML. Error: Invalid signature type
Dieser Fehler weist darauf hin, dass die SAML-Antwort nicht mit dem richtigen Algorithmus signiert ist. Der Signaturalgorithmus muss RSA-SHA256 und der Digest-Algorithmus SHA256 sein. Wir setzen diese Standards aus Sicherheitsgründen durch, da SHA-256 der in der Branche übliche Hashing-Algorithmus ist. SHA-1, der bisherige Standard, gilt nicht mehr als sicher. In der Dokumentation Ihres Identitätsanbieters finden Sie Anleitungen zum Konfigurieren Ihrer Integration für die Verwendung von SHA-256.
Fehler beim Anmelden bei der Nutzeroberfläche
Wenn Sie sich nach der Konfiguration nicht über die Nutzeroberfläche mit SSO anmelden können, kann dies darauf hindeuten, dass Ihre Domain nicht validiert ist. Stellen Sie sicher, dass die genaue Domain, die Sie für Ihre E-Mail-Adresse verwenden, auf der Seite Nutzerauthentifizierung verifiziert wird.
Wenn Sie dieselbe Domain in mehreren Konten mit verschiedenen Identitätsanbieterkonfigurationen validiert haben, können wir nicht bestimmen, welcher Identitätsanbieter zu verwenden ist. Um dieses Problem zu beheben, verwenden Sie die folgende URL mit Ihrer verifizierten Domain, um sich direkt per SSO bei Ihrem Konto anzumelden. Diese URL enthält die Domain und das Konto für die Authentifizierung. Durch Ändern des Konto-Tokens am Ende der URL können Sie sich für ein anderes Konto authentifizieren.
https://dashboard.stripe.com/login/saml_direct/domain/{{YOUR_DOMAIN}}/merchant/{{STRIPE_ACCOUNT_ID}}
Wenn Sie über ein anderes Konto verfügen, das nicht durch SSO gesteuert wird, und Ihre E-Mail-Adresse für dieses Konto nicht validiert haben, validieren Sie Ihre E-Mail-Adresse und versuchen Sie es erneut.
Fehler „Rolle fehlt“
Wenn nach der Konfiguration von SSO ein Fehler angezeigt wird, der angibt, dass Sie eine Rolle haben müssen, wenn Sie versuchen, sich anzumelden, bedeutet dies, dass wir keine Rolle für den/die Nutzer/in in der SAML-Assertion vom Identitätsanbieter erhalten haben. Stellen Sie sicher, dass die an Stripe gesendete Assertion das folgende Attribut enthält.
<saml2:AttributeStatement> <saml2:Attribute Name="Stripe-Role-" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml2:AttributeValue>role_id </saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement>
Wenn die Assertion dieses Attribut bereits enthält, stellen Sie sicher, dass Sie eine gültige role_ senden.
CSRF-Token-Fehler
Wenn ein CSRF-Token-Fehler auftritt, überprüfen Sie, ob Sie die URLs in Ihrem Identitätsanbieter richtig konfiguriert haben. Achten Sie genau auf die SSO-URL und den Zielgruppen-URI oder die Unternehmens-ID, wie in der Dokumentation angegeben, und stellen Sie sicher, dass Sie diese bei der Einrichtung Ihres Identitätsanbieters korrekt eingegeben haben.
Aus dem Dashboard ausgesperrt
Wenn nur ein Teammitglied im Stripe-Dashboard gesperrt ist, weist dies in der Regel auf eine falsche Konfiguration innerhalb des Identitätsanbieters hin. Häufig besteht das Problem darin, dass die SAML-Authentifizierungsanfrage keine Rolle für jedes Stripe Konto enthält, auf das das Teammitglied zugreifen muss. Das Teammitglied muss sich mit dem Administrator seines Identitätsanbieters beraten, um zu überprüfen, ob seine Konfiguration korrekt ist.
Wenn alle Teammitglieder im Stripe Dashboard gesperrt sind, kann dies auf falsch konfigurierte SSO-Einstellungen oder ein Problem mit dem Identitätsanbieter (z. B. einen Ausfall) zurückzuführen sein. In diesem Szenario muss sich der/die Kontovertreter/in an den Stripe-Support wenden. Nach der Identitätsprüfung ändern wir die SSO-Konfiguration des Kontos von Required in Optional, sodass sich der/die Administrator/in des Identitätsanbieters anmelden und die Konfiguration entsprechend anpassen kann.
Einschränkungen bei SSO
Die folgenden SSO-Funktionen werden von Stripe nicht unterstützt:
- Löschen von Nutzer/innen in SAML: Aufgrund der Einschränkungen von SAML wird Stripe nicht benachrichtigt, wenn der Nutzerzugriff im IdP widerrufen wird. Wenn Nutzer/innen versuchen, sich nach Ablauf ihrer aktuellen Sitzung erneut über SSO anzumelden, widerruft Stripe ihren Zugriff automatisch. Um den Zugriff sofort zu entfernen, löschen Sie die Nutzer/innen in Ihren Team-Einstellungen.
- System für Domain-übergreifendes Identitätsmanagement (SCIM): SCIM ist ein Protokoll, das ein IdP verwendet, um Prozesse des Lebenszyklus der Benutzeridentität – wie Bereitstellung, Aufhebung der Bereitstellung des Zugriffs und Angabe von Nutzerdaten – mit einem Dienstleister wie Stripe zu synchronisieren.
Wenn ein Teammitglied zu Ihrem Identitätsanbieter hinzugefügt wird, wickelt Stripe die Just-in-Time-Erstellung für dieses Teammitglied ab. Das heißt, wenn sich das Teammitglied mit SSO beim Stripe Dashboard anmeldet und kein bestehendes Stripe Konto hat, erstellen wir eines für ihn. Wenn Sie die Rolle eines Teammitglieds im Dashboard ändern, aktualisiert Stripe seine Rolle bei der nächsten Anmeldung.
- Authentifizierung per mobiler App: Wir unterstützen kein SSO über die mobilen Apps von Stripe.
- Dauer der SSO-Sitzung konfigurieren: Die Dauer der SSO-Sitzung ist auf 12 Stunden festgelegt und kann nicht konfiguriert werden.
- Native IdP-initiierte Anmeldung: Unterstützung für die Authentifizierung durch den Dienstleister, die erforderlich ist, damit die vom Identitätsanbieter initiierte Anmeldung funktioniert. Die native IdP-initiierte Anmeldung wird aufgrund von Sicherheitsbedenken beim SAML-Protokoll nicht unterstützt.
Beispielsweise kann ein Man-in-the-Middle-Angriff die SAML-Assertion abfangen und später wiedergeben, um unbefugten Zugriff auf ein Konto zu erhalten. Wenn Teammitglieder versuchen, sich mit ihrem IdP anzumelden, behandelt Stripe die Anfrage wie eine vom Dienstleister initiierte Anmeldung und authentifiziert das Teammitglied wie vorgesehen.
Unterstützte SSO-Funktionen
Stripe unterstützt die folgenden Funktionen für SSO (einmalige Anmeldung):
Teammitglieder mit unterschiedlichen Rollen: Bei der Anmeldung muss Ihr Identitätsanbieter die zutreffende Rolle des Teammitglieds im AttributeStatement übermitteln. Ein Beispiel dafür finden Sie in der Okta-Dokumentation Dynamische Rollen von Teammitgliedern Gruppen zuweisen.
Mit einer SAML-Assertion bei mehreren Konten anmelden: Senden Sie Stripe eine Assertion von Ihrem Identitätsanbieter mit mehreren Rollenattributen, die alle Konto-IDs enthalten, für die Sie den Zugriff konfigurieren möchten. Zum Beispiel:
<saml2:AttributeStatement> <saml2:Attribute Name="Stripe-Role-STRIPE-ACCOUNT-ID1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml2:AttributeValue>role_id </saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name="Stripe-Role-STRIPE-ACCOUNT-ID2" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml2:AttributeValue>role_id </saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement>SSO deaktivieren: Sie können den Durchsetzungsmodus Ihres Kontos auf der Seite Nutzerauthentifizierung auf Deaktiviert setzen, um SSO zu deaktivieren. Dadurch wird der Zugriff für alle Nutzer/innen entfernt, die nur mit SAML auf das Team zugreifen können. Dies schließt jede/n Nutzer/in ein, der/die kein Passwort festgelegt hat.
Zu einem anderen IdP migrieren: Um zu einem anderen IdP zu migrieren, aktualisieren Sie Ihre SSO-Einstellungen auf der Seite Nutzerauthentifizierung. Legen Sie beim Aktualisieren der SSO-Einstellungen zunächst den Durchsetzungsmodus Ihres Kontos auf optional fest.
So wird sichergestellt, dass Sie sich im Falle eines Problems immer noch mit Ihrer E-Mail-Adresse und Ihrem Passwort beim Stripe-Dashboard anmelden können. Wenn Sie ein Testkonto haben, aktualisieren Sie zuerst Ihre SSO-Einstellungen in Ihrem Testkonto und validieren Sie die neuen Einstellungen, bevor Sie Ihre anderen Konten aktualisieren.