Résoudre les problèmes liés à l’authentification uniqueVersion bêta publique
Découvrez comment résoudre les erreurs courantes qui peuvent se produire lors de la configuration de l’authentification unique.
Lorsque vous configurez l’authentification unique pour votre compte, vous pouvez tester votre configuration SSO avant de l’enregistrer afin d’éviter une mauvaise configuration de l’authentification unique et le verrouillage de vos utilisateurs. Si l’assistant de test découvre des erreurs, utilisez ce guide pour les comprendre et les résoudre.
| Erreur | Description | Résolution |
|---|---|---|
| La requête SAML a expiré | La requête SAML comportait un horodatage qui n’est plus valide. Les requêtes SAML sont généralement assorties d’un délai afin de s’assurer que l’utilisateur s’est authentifié récemment. | Essayez de vous connecter à nouveau pour générer une nouvelle assertion SAML de votre fournisseur d’identité. |
| Réponse SAML non valide | La réponse SAML reçue du fournisseur d’identité (IdP) n’est pas conforme au format attendu ou contient des informations incorrectes. | Examinez la réponse SAML à l’aide d’outils tels que SAML Tracer (pour Chrome) ou un outil similaire. |
| ID de l’émetteur non valide | L’identifiant de l’émetteur (également appelé identifiant de l’entité) dans la réponse SAML ne correspond pas à l’identifiant de l’émetteur configuré dans Stripe. | Connectez-vous à votre fournisseur d’identité et accédez aux paramètres d’intégration. Confirmez que l’identifiant de l’émetteur pour votre application Stripe correspond à l’identifiant de l’émetteur que vous avez configuré dans Stripe. |
| URL du fournisseur d’identité non valide | L’URL du fournisseur d’identité configurée dans Stripe qui dirige les utilisateurs vers la connexion au fournisseur d’identité est incorrecte ou inaccessible. | Connectez-vous à votre fournisseur d’identité et accédez aux paramètres d’intégration. Confirmez que l’URL du fournisseur d’identité pour votre application Stripe correspond à votre configuration dans Stripe. |
| Certificat de fournisseur d’identité non valide | Le certificat fourni par le fournisseur d’identité n’est pas valide ou n’est pas fiable. | Assurez-vous que vous utilisez le bon certificat IdP. Vous pouvez souvent trouver le dernier certificat dans le tableau de bord IdP sous les paramètres de sécurité. Si le certificat a changé, téléchargez le nouveau et remplacez le certificat existant dans votre configuration d’authentification unique. |
| L’utilisateur n’appartient pas au domaine vérifié | L’utilisateur qui tente de s’authentifier n’appartient pas au domaine autorisé. | Vérifiez le domaine associé à l’adresse e-mail de l’utilisateur. Si l’accès doit lui être accordé, vérifiez la configuration de son compte dans le fournisseur d’identité. Assurez-vous que l’adresse e-mail de l’utilisateur correspond au domaine autorisé pour l’authentification unique. Si vous devez apporter des modifications, mettez à jour le compte de l’utilisateur dans le fournisseur d’identité. |
| Aucun rôle n’a été trouvé pour l’utilisateur | Aucun rôle n’a été trouvé dans la réponse SAML pour l’utilisateur. | Assurez-vous que le fournisseur d’identité est configuré pour envoyer des assertions de rôle pour l’utilisateur. Examinez les rôles associés à l’utilisateur dans le fournisseur d’identité et vérifiez qu’ils sont correctement attribués. Pour obtenir une liste des rôles disponibles et savoir comment les configurer, consultez notre documentation sur les rôles. |
| Attribution de rôle non valide par le fournisseur d’identité | L’assertion de rôle dans la réponse SAML est absente ou non valide. | Confirmez que votre fournisseur d’identité est configuré pour envoyer les assertions de rôle nécessaires. Examinez la configuration de l’IdP et les mappages de rôles. S’il manque des assertions de rôle, consultez la documentation de l’IdP ou le service de support de l’IdP pour savoir comment les configurer correctement. Des instructions détaillées sont disponibles dans notre Guide des assertions de rôle. |
Autres erreurs fréquentes
Les exemples suivants sont des messages d’erreur supplémentaires que vous pouvez rencontrer et des solutions possibles.
Erreur de configuration de votre application
Lors de la configuration de votre application, un message d’erreur indiquant un problème d’authentification peut s’afficher :
{"error":{"message":"Required field","param":"RelayState"}}
Cela peut indiquer que vous lancez l’authentification auprès d’un fournisseur d’identité qui ne prend pas en charge l’authentification initiée par le fournisseur de services. Nous ne prenons en charge que l’authentification initiée par le fournisseur d’identité, lorsque celui-ci prend également en charge l’authentification initiée par le fournisseur de services. Ce problème peut également se produire si votre fournisseur d’identité ne transmet pas correctement le paramètre RelayState de la demande d’authentification avec votre assertion.
Erreur de connexion à Stripe
Lorsque vous vous connectez à Stripe, le message d’erreur suivant peut s’afficher :
SAML. Error: Invalid signature type
Cette erreur indique que la réponse SAML n’est pas signée avec le bon algorithme. L’algorithme de signature doit être RSA-SHA256 et l’algorithme de hachage doit être SHA256. Nous appliquons ces normes pour des raisons de sécurité, car SHA-256 est l’algorithme de hachage standard de l’industrie. SHA-1, l’ancienne norme, n’est plus considérée comme sûre. Reportez-vous à la documentation de votre fournisseur d’identité pour obtenir des conseils sur la configuration de votre intégration afin d’utiliser SHA-256.
Erreur de connexion à l’interface utilisateur
Si vous ne pouvez pas utiliser l’interface utilisateur pour vous connecter avec l’authentification unique après la configuration, cela peut indiquer que votre domaine n’est pas validé. Assurez-vous que le domaine exact que vous utilisez pour votre adresse e-mail est vérifié sur la page Authentification de l’utilisateur.
Si vous avez validé le même domaine dans plusieurs comptes avec des configurations de fournisseur d’identité différentes, nous ne pouvons pas déterminer quel fournisseur d’identité utiliser. Pour résoudre ce problème, utilisez l’URL suivante avec votre domaine vérifié pour vous connecter directement à votre compte avec l’authentification unique. Cette URL comprend le domaine et le compte pour l’authentification. En changeant le token de compte à la fin de l’URL, vous pouvez vous authentifier auprès d’un autre compte.
https://dashboard.stripe.com/login/saml_direct/domain/{{YOUR_DOMAIN}}/merchant/{{STRIPE_ACCOUNT_ID}}
Si vous disposez d’un autre compte qui n’est pas soumis à l’authentification unique et que vous n’avez pas validé l’adresse e-mail associée, validez-la, puis réessayez.
Erreur de rôle manquant
Si vous rencontrez une erreur indiquant que vous devez disposer d’un rôle lorsque vous tentez de vous connecter après avoir configuré l’authentification unique, cela signifie que nous n’avons pas reçu de rôle pour l’utilisateur dans l’assertion SAML de la part du fournisseur d’identité. Vérifiez que l’assertion envoyée à Stripe contient l’attribut suivant.
<saml2:AttributeStatement> <saml2:Attribute Name="Stripe-Role-" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml2:AttributeValue>role_id </saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement>
Si l’assertion contient déjà cet attribut, assurez-vous d’envoyer un role_ valide.
Erreur de token CSRF
Si vous rencontrez une erreur de jeton CSRF, vérifiez que vous avez correctement configuré les URL dans votre fournisseur d’identité. Portez une attention particulière aux paramètres SSO URL (URL SSO), Audience URI (URI d’audience) ou Entity ID (ID d’entité) comme indiqué dans la documentation, et assurez-vous de les avoir saisis correctement dans la configuration de votre fournisseur d’identité.
Accès bloqué au Dashboard
Si l’accès au Dashboard Stripe est verrouillé pour un seul membre de l’équipe, cela signifie généralement que la configuration de ce dernier au sein du fournisseur d’identité est incorrecte. Le plus souvent, le problème vient du fait que la demande d’authentification SAML ne contient pas de rôle pour chaque compte Stripe auquel le membre de l’équipe doit accéder. Celui-ci doit contacter l’administrateur de son fournisseur d’identité pour s’assurer que sa configuration est correcte.
Si l’accès au Dashboard Stripe est verrouillé pour tous les membres de l’équipe, les paramètres d’authentification unique sont peut-être mal configurés ou il peut y avoir un problème avec le fournisseur d’identité (par exemple, une panne). Dans ce cas, le représentant du compte doit contacter le service Support de Stripe. Après une vérification d’identité, nous modifions la configuration de l’authentification unique du compte en remplaçant Required par Optional pour que l’administrateur du fournisseur d’identité puisse se connecter et apporter les corrections nécessaires.
Limites de l’authentification unique
Stripe ne prend pas en charge les fonctionnalités d’authentification unique suivantes :
- Suppression de l’utilisateur dans SAML : en raison des limites de SAML, Stripe n’est pas informé si l’accès de l’utilisateur est révoqué dans le fournisseur d’identité. Si les utilisateurs essaient de se connecter à nouveau via l’authentification unique après l’expiration de leur session en cours, leur accès est révoqué par Stripe Pour retirer l’accès instantanément, supprimez les utilisateurs dans les paramètres de l’équipe.
- System for Cross-domain Identity Management (SCIM) : SCIM est un protocole qu’un fournisseur d’identité utilise pour synchroniser les processus du cycle de vie de l’identité de l’utilisateur (par exemple, la mise en et hors service de l’accès, la génération des données de l’utilisateur) avec un prestataire de services tel que Stripe.
Si un membre de l’équipe est ajouté à votre fournisseur d’identité, Stripe gère la création juste-à-temps de ce membre de l’équipe. Cela signifie que si un membre de l’équipe se connecte avec l’authentification unique au Dashboard Stripe et qu’il ne dispose pas d’un compte Stripe, nous en créons un pour lui. Lorsque vous apportez des changements au rôle d’un membre de l’équipe dans le Dashboard, Stripe met à jour le rôle à la connexion suivante de ce membre de l’équipe.
- Authentification par application mobile : nous ne prenons pas en charge l’authentification unique via les applications mobiles de Stripe.
- Configurer la durée de la session SSO : la durée de la session SSO est fixée à 12 heures et n’est pas configurable.
- Connexion native initiée par le fournisseur d’identité : la prise en charge de l’authentification par le fournisseur de services est nécessaire au bon fonctionnement de la connexion initiée par le fournisseur d’identité. La connexion native initiée par le fournisseur d’identité n’est pas prise en charge en raison de problèmes de sécurité liés au protocole SAML.
Par exemple, l’assertion SAML pourrait être captée dans le cadre d’une « attaque de l’intercepteur », puis relue à un autre moment pour obtenir un accès non autorisé à un compte. Lorsqu’un membre de l’équipe tente de se connecter à l’aide de son fournisseur d’identité, Stripe traite la demande comme une connexion initiée par le fournisseur de services et valide l’authentification comme prévu.
Fonctionnalités prises en charge par l’authentification unique
Stripe prend en charge les fonctionnalités d’authentification unique suivantes :
Membres de l’équipe ayant des rôles différents : lors de la connexion, votre fournisseur d’identité doit envoyer le rôle approprié du membre de l’équipe dans l’AttributeStatement. Pour un exemple concret, consultez la section consacrée au mappage de rôles utilisateur à des groupes d’Okta.
Se connecter à plusieurs comptes à l’aide d’une seule assertion SAML : envoyez à Stripe une assertion de votre fournisseur d’identité avec plusieurs attributs de rôle contenant tous les ID de compte auxquels vous souhaitez configurer l’accès. Par exemple :
<saml2:AttributeStatement> <saml2:Attribute Name="Stripe-Role-STRIPE-ACCOUNT-ID1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml2:AttributeValue>role_id </saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name="Stripe-Role-STRIPE-ACCOUNT-ID2" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml2:AttributeValue>role_id </saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement>Désactiver l’authentification unique : vous pouvez définir le mode d’application de votre compte sur Désactivée à partir de la page Authentification de l’utilisateur pour désactiver l’authentification unique. Tous les utilisateurs pouvant uniquement accéder à l’équipe via SAML perdront leur accès. Cela inclut tout utilisateur n’ayant pas défini de mot de passe.
Migrer vers un autre fournisseur d’identité : pour migrer vers un autre fournisseur d’identité, mettez à jour vos paramètres d’authentification unique à partir de la page Authentification de l’utilisateur. Lors de la mise à jour des paramètres d’authentification unique, définissez d’abord le mode d’application de votre compte sur facultative.
Ainsi, en cas de problème, vous pouvez toujours vous connecter au Dashboard Stripe avec votre e-mail et votre mot de passe. Si vous disposez d’un compte de test, mettez d’abord à jour vos paramètres d’authentification unique dans votre compte de test et validez les nouveaux paramètres avant de mettre à jour vos autres comptes.