Weiter zum Inhalt
Konto erstellen
 oder
anmelden
Das Logo der Stripe-Dokumentation
/
Konto erstellen
Anmelden
ÜbersichtAlle Produkte ansehen
Set up Stripe
Stripe Dashboard
Web-DashboardMobiles Dashboard
For developers
Auf Stripe umsteigen
Kundendaten migrierenAbonnements migrieren
Manage fraud risk

Fehlerbehebung bei der SSO-EinrichtungÖffentliche Vorschau

Beheben Sie fehlgeschlagene Konfigurationsprüfungen beim Einrichten von SSO.

Wenn Sie SSO für Ihr Konto einrichten, können Sie Ihre SSO-Konfiguration testen, bevor Sie sie speichern, um eine Fehlkonfiguration von SSO zu verhindern und Ihre Nutzer/innen auszuschließen. Wenn der Testassistent Fehler erkennt, verwenden Sie dieses Handbuch, um diese zu verstehen und zu beheben.

FehlerBeschreibungAuflösung
Die SAML-Anfrage ist abgelaufenDie SAML-Anfrage enthielt einen Zeitstempel, der nicht mehr gültig ist. SAML-Anfragen sind in der Regel zeitkritisch, um sicherzustellen, dass sich der/die Nutzer/in kürzlich authentifiziert hat.Versuchen Sie, sich erneut anzumelden, um eine neue SAML-Assertion von Ihrem Identitätsanbieter zu generieren.
Ungültige SAML-AntwortDie vom Identitätsanbieter (IdP) empfangene SAML-Antwort entspricht nicht dem erwarteten Format oder enthält falsche Informationen.Überprüfen Sie die SAML-Antwort mit Tools wie SAML Tracer (für Chrome) oder einem ähnlichen Tool.
Ungültige Aussteller-IDDie Aussteller-ID (auch Unternehmens-ID genannt) in der SAML-Antwort stimmt nicht mit der in Stripe konfigurierten Aussteller-ID überein.Melden Sie sich bei Ihrem Identitätsanbieter an und gehen Sie zu den Integrationseinstellungen. Bestätigen Sie, dass die Aussteller-ID für Ihre Stripe-App mit der Aussteller-ID übereinstimmt, die Sie in Stripe konfiguriert haben.
Ungültige URL des IdentitätsanbietersDie in Stripe konfigurierte Identitätsprovider-URL, die Nutzer/innen zur Anmeldung beim Identitätsanbieter leitet, ist falsch oder nicht erreichbar.Melden Sie sich bei Ihrem Identitätsanbieter an und gehen Sie zu den Integrationseinstellungen. Bestätigen Sie, dass die Identitätsanbieter-URL für Ihre Stripe-App mit Ihrer Konfiguration in Stripe übereinstimmt.
Ungültiges IdentitätsanbieterzertifikatDas vom Identitätsanbieter bereitgestellte Zertifikat ist ungültig oder nicht vertrauenswürdig.Vergewissern Sie sich, dass Sie das richtige IdP-Zertifikat verwenden. Das neueste Zertifikat finden Sie häufig im IdP-Dashboard unter den Sicherheitseinstellungen. Wenn sich das Zertifikat geändert hat, laden Sie das neue Zertifikat herunter und ersetzen Sie das vorhandene Zertifikat in Ihrer SSO-Konfiguration.
Nutzer/in gehört nicht zur verifizierten DomainDer/die Nutzer/in, der/die versucht, sich zu authentifizieren, gehört nicht zur zulässigen Domain.Überprüfen Sie die Domain, die mit der E-Mail-Adresse des Nutzers/der Nutzerin verknüpft ist. Wenn ihnen Zugriff gewährt werden muss, überprüfen Sie ihre Kontokonfiguration im Identitätsanbieter. Stellen Sie sicher, dass die E-Mail-Adresse des Nutzers/der Nutzerin mit der für SSO zulässigen Domain übereinstimmt. Wenn Sie Änderungen vornehmen müssen, aktualisieren Sie das Konto des Nutzers/der Nutzerin im IdP.
Für den/die Nutzer/in wurden keine Rollen gefundenIn der SAML-Antwort für den/die Nutzer/in wurden keine Rollen gefunden.Stellen Sie sicher, dass der Identitätsanbieter so konfiguriert ist, dass er Rollen-Assertions für den/die Nutzer/in sendet. Überprüfen Sie die Rollen, die dem/der Nutzer/in im IdP zugeordnet sind, und stellen Sie sicher, dass sie ordnungsgemäß zugewiesen sind. Eine Liste der verfügbaren Rollen und deren Konfiguration finden Sie in unserer Dokumentation zu Rollen.
Ungültige Rollenzuweisung vom IdentitätsanbieterDie Rollen-Assertion in der SAML-Antwort fehlt oder ist ungültig.Bestätigen Sie, dass Ihr Identitätsanbieter zum Senden der erforderlichen Rollen-Assertions eingerichtet ist. Überprüfen Sie die Konfigurations- und Rollenzuordnungen des IdP. Wenn Rollen-Assertions fehlen, lesen Sie in der IdP-Dokumentation nach oder wenden Sie sich an den IdP-Support, um zu erfahren, wie Sie sie richtig konfigurieren können. Ausführliche Anweisungen finden Sie in unserem Leitfaden zu Rollen-Assertions.

Häufig gestellte Fragen

  • Mir wird folgende Fehlermeldung angezeigt, wenn ich meine Anwendung konfiguriere:

    {"error":{"message":"Required field","param":"RelayState"}}

    Wenn dieser Fehler bei der Konfiguration Ihrer Anwendung auftritt, könnte es sein, dass Sie die Authentifizierung von einem Identitätsanbieter initiieren, der die vom Dienstleister initiierte Authentifizierung nicht unterstützt. Die von einem Identitätsanbieter initiierte Authentifizierung wird von uns nur unterstützt, wenn der Identitätsanbieter auch die vom Dienstleister initiierte Authentifizierung unterstützt. Ein weiterer Grund für das Auftreten des Fehlers könnte sein, dass Ihr Identitätsanbieter den Parameter RelayState aus der Authentifizierungsanfrage nicht korrekt mit Ihrer Assertion zurückgibt.

  • Mir wird folgende Fehlermeldung angezeigt, wenn ich mich bei Stripe anmelde:

    SAML. Error: Invalid signature type

    Dieser Fehler tritt auf, da die SAML-Antwort nicht mit dem entsprechenden Algorithmus signiert wurde. Der Signaturalgorithmus muss RSA-SHA256 lauten und der Digest-Algorithmus SHA256. Das ist aus Sicherheitsgründen erforderlich, da SHA-256 der in der Branche übliche Hashing-Algorithmus ist. Der bisherige Algorithmus SHA-1 gilt nicht mehr als sicher genug. In der Dokumentation Ihres Identitätsanbieters finden Sie Anleitungen dazu, wie Sie Ihre Integration für die Verwendung von SHA-256 konfigurieren.

  • Ich kann die Nutzeroberfläche für die Anmeldung nicht mit SSO verwenden:

    Wenn dieses Problem nach der Konfiguration von SSO auftritt, kann dies bedeuten, dass Ihre Domain nicht validiert ist. Vergewissern Sie sich, dass die genaue Domain, die Sie für Ihre E-Mail-Adresse verwenden, auf der Seite Nutzerauthentifizierung verifiziert ist.

    Wenn Sie dieselbe Domain in mehreren Konten mit verschiedenen Identitätsanbieterkonfigurationen für diese Konten validiert haben, können wir nicht erkennen, welcher Identitätsanbieter zu verwenden ist. Verwenden Sie in diesem Fall die folgende URL mit Ihrer verifizierten Domain, um sich direkt mit SSO bei Ihrem Konto anzumelden. Diese URL enthält die Domain und das Konto, für die bzw. das die Authentifizierung erfolgen soll. Wenn Sie das Konto-Token am Ende der URL ändern, erfolgt Ihre Authentifizierung mit einem anderen Konto.

    https://dashboard.stripe.com/login/saml_direct/domain/{{YOUR_DOMAIN}}/merchant/{{STRIPE-ACCOUNT-ID}}

    Wenn Sie über ein anderes Konto verfügen, das nicht durch SSO gesteuert wird, und Ihre E-Mail-Adresse für dieses Konto nicht validiert haben, validieren Sie Ihre E-Mail-Adresse und versuchen Sie es erneut.

  • Mir wird eine Fehlermeldung angezeigt, die besagt, dass ich eine Rolle haben muss, wenn ich versuche, mich anzumelden:

    Wenn dieses Problem nach der Konfiguration von SSO auftritt, bedeutet dies höchstwahrscheinlich, dass wir keine Rolle für den/die Nutzer/in in der SAML-Assertion vom Identitätsanbieter erhalten haben. Stellen Sie sicher, dass die Assertion, die an Stripe gesendet wird, das folgende Attribut enthält.

    <saml2:AttributeStatement>
  <saml2:Attribute Name="Stripe-Role-" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
    <saml2:AttributeValue>role_id
    </saml2:AttributeValue>
  </saml2:Attribute>
</saml2:AttributeStatement>

    Wenn dieses Attribut enthalten ist, stellen Sie sicher, dass Sie eine gültige role_id senden.

  • Mir wird eine Fehlermeldung angezeigt, die besagt, dass es ein Problem mit meinem CSRF-Token gibt:

    Vergewissern Sie sich, dass Sie die URLs in Ihrem Identitätsanbieter richtig konfiguriert haben. Achten Sie insbesondere auf SSO-URL und AUDIENCE URI oder Entity ID in der Dokumentation und stellen Sie sicher, dass Sie diese in Ihrem speziellen Identitätsanbieter richtig eingeben.

  • Was kann ich tun, wenn ich im Stripe-Dashboard gesperrt wurde?

    Wenn nur ein Teammitglied im Stripe-Dashboard gesperrt ist, bedeutet dies in der Regel, dass die Konfiguration innerhalb des Identitätsanbieters falsch ist. In der Regel liegt das Problem darin, dass die SAML-Authentifizierungsanfrage nicht für jedes Stripe-Konto, auf das das Teammitglied zugreifen muss, eine Rolle enthält. Das Teammitglied sollte sich an den/die Administrator/in seines Identitätsanbieters wenden, um sicherzustellen, dass die Konfiguration korrekt ist.

    Wenn alle Teammitglieder im Stripe-Dashboard gesperrt sind, könnten die SSO-Einstellungen falsch konfiguriert sein, oder es liegt ggf. ein Problem beim Identitätsanbieter vor, zum Beispiel ein Netzwerkausfall. In einem solchen Fall sollte sich der/die Kontovertreter/in an den Stripe-Support wenden. Wir ändern die SSO-Konfiguration des Kontos nach erfolgter Identitätsprüfung vom Modus Required in den Modus Optional, damit sich der/die Administrator/in des Identitätsanbieters anmelden und die Konfiguration entsprechend anpassen kann.

  • Unterstützt Stripe SCIM?

    Wir unterstützen SCIM nicht. Wenn ein Teammitglied zu Ihrem Identitätsanbieter hinzugefügt wird, kümmert sich Stripe um die Just-in-Time-Erstellung dieses Teammitglieds. Das bedeutet, wenn sich ein Teammitglied mit SSO bei Stripe anmeldet und noch kein Stripe-Konto hat, erstellen wir eines für das Teammitglied. Wenn Änderungen an der Dashboard-Rolle eines Teammitglieds vorgenommen werden, aktualisiert Stripe die Rolle, wenn sich das Teammitglied das nächste Mal anmeldet.

  • Kann ich SSO zur Authentifizierung bei den Apps von Stripe verwenden?

    Wir unterstützen kein SSO über unsere Apps.

  • Wie lange dauert eine SSO-Sitzung und kann sie konfiguriert werden?

    Die Dauer einer SSO-Sitzung ist auf 12 Stunden festgelegt und kann nicht konfiguriert werden.

  • Welche Struktur ist in Okta am besten geeignet, um mehrere Stripe-Konten zu unterstützen?

    Wir empfehlen, eine einzige Okta-App zu verwenden und für jedes Ihrer Konten ein Rollenattribut bereitzustellen. Sie können verschiedene Werte für verschiedene Teammitglieder in Ihrem Konto angeben, indem Sie Okta-Ausdrücke verwenden, um auf Profil- und Gruppeninformationen von Teammitgliedern zuzugreifen und den Wert dynamisch zu rendern. Erfahren Sie mehr über die Ausdruckssprache von Okta.

  • Kann ich die Rollen für Teammitglieder nach wie vor über das Stripe-Dashboard verwalten?

    Der Identitätsanbieter steuert sowohl die Authentifizierung als auch die Autorisierung für das Stripe-Dashboard. Wir unterstützen nicht die Verwendung des Identitätsanbieters für die Authentifizierung und des Dashboards für die Verwaltung von Rollen. Wenn die Rolle im Dashboard von der vom Identitätsanbieter konfigurierten Rolle abweicht, aktualisiert Stripe die Rolle im Dashboard auf die im AttributeStatement angegebene Rolle, wenn sich das Teammitglied das nächste Mal anmeldet.

  • Können meine Teammitglieder unterschiedliche Rollen haben?

    Bei der Anmeldung muss Ihr Identitätsanbieter die zutreffende Rolle des Teammitglieds im AttributeStatement übermitteln. Ein Beispiel dafür finden Sie im Abschnitt Dynamische Rollen von Teammitgliedern Gruppen zuordnen von Okta.

  • Wie kann ich mich mit einer SAML-Assertion bei mehreren Konten anmelden?

    Senden Sie Stripe eine Assertion von Ihrem Identitätsanbieter mit mehreren Rollenattributen, die alle Konto-IDs enthalten, für die Sie den Zugriff konfigurieren möchten. Zum Beispiel:

    <saml2:AttributeStatement>
  <saml2:Attribute Name="Stripe-Role-STRIPE-ACCOUNT-ID1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
    <saml2:AttributeValue>role_id
    </saml2:AttributeValue>
  </saml2:Attribute>
  <saml2:Attribute Name="Stripe-Role-STRIPE-ACCOUNT-ID2" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
    <saml2:AttributeValue>role_id
    </saml2:AttributeValue>
  </saml2:Attribute>
</saml2:AttributeStatement>

  • Wie widerrufe ich den Zugriff?

    Dafür stehen zwei Methoden zur Verfügung:

    Den Zugriff aktiv mit einer Assertion widerrufen

    Durch die Übermittlung einer Assertion von Ihrem Identitätsanbieter an Stripe können Sie einem Teammitglied Zugriff auf bestimmte Stripe-Konten gewähren. Außerdem können Sie den Zugriff für ein Teammitglied widerrufen, indem Sie ihm die Rolle none für das Stripe-Konto zuweisen, für das Sie den Zugriff widerrufen möchten. Mehr Informationen darüber, wie Sie Teammitgliedern Rollen zuweisen können, finden Sie auf der Seite Ihres Identitätsanbieters.

    Ein Beispiel für ein Attributelement, das den Zugriff für ein Teammitglied widerruft:

    <saml2:attribute name="Stripe-Role-STRIPE-ACCOUNT-ID" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
  <saml2:attributevalue>none
  </saml2:attributevalue>
</saml2:attribute>

    Vorsicht

    Sie können den Zugriff für den/die Inhaber/in eines Stripe-Kontos nicht widerrufen.

    Den Zugriff passiv mit dem Erzwingungsmodus widerrufen

    Wenn der Erzwingungsmodus auf erforderlich festgelegt ist, können nur die Teammitglieder auf das Stripe-Konto zugreifen, die sich bei Ihrem Identitätsanbieter authentifizieren können. Im Modus erforderlich können Sie den Zugriff eines Teammitglieds auf ein Stripe-Konto widerrufen, indem Sie die Authentifizierung durch Ihren Identitätsanbieter verhindern. Auf der Seite Nutzerauthentifizierung können Sie SSO auf erforderlich festlegen.

  • Warum ist die Unterstützung der Authentifizierung durch den Dienstleister notwendig, damit die vom Identitätsanbieter initiierte Anmeldung funktioniert?

    Die native IdP-initiierte Anmeldung wird aufgrund von Sicherheitsbedenken beim SAML-Protokoll nicht unterstützt. Beispielsweise kann die SAML-Assertion bei einem Man-in-the-Middle-Angriff abgefangen und zu einem anderen Zeitpunkt wiedergegeben werden, um nicht berechtigen Zugriff auf ein Konto zu erhalten.

    Wenn Teammitglieder sich über ihren IdP anzumelden versuchen, behandelt Stripe die Anfrage wie eine vom Dienstleister initiierte Anmeldung und authentifiziert das Teammitglied wie vorgesehen.

  • Wie aktualisiere ich meine SSO-Einstellungen bei der Umstellung auf einen neuen Identitätsanbieter?

    Sie können Ihre Einstellungen für die einmalige Anmeldung auf der Seite Nutzerauthentifizierung aktualisieren. Beim Aktualisieren dieser Einstellungen empfehlen wir, den Erzwingungsmodus Ihres Kontos zunächst auf optional festzulegen. So wird sichergestellt, dass Sie sich im Falle eines Problems immer noch mit Ihrer E-Mail-Adresse und Ihrem Passwort beim Stripe-Dashboard anmelden können. Wenn Sie ein Testkonto haben, empfehlen wir, Ihre Einstellungen für die einmalige Anmeldung zunächst in Ihrem Testkonto zu aktualisieren und die neuen Einstellungen zu validieren, bevor Sie Ihre anderen Konten aktualisieren.

  • Wie kann ich SSO deaktivieren?

    Sie können den Erzwingungsmodus Ihres Kontos auf der Seite Nutzerauthentifizierung auf Aus setzen, um SSO zu deaktivieren. Dadurch wird der Zugriff für alle Nutzer/innen, die nur mit SAML auf das Team zugreifen können, entfernt. Dies schließt jede/n Nutzer/in ein, der/die kein Passwort festgelegt hat.

War diese Seite hilfreich?
JaNein
Benötigen Sie Hilfe? Kontaktieren Sie den Kundensupport.
Nehmen Sie an unserem Programm für frühzeitigen Zugriff teil.
Schauen Sie sich unseren Produkt-Changelog an.
Fragen? Sales-Team kontaktieren.
Unterstützt von Markdoc