# Résoudre les problèmes liés à l’authentification unique
Découvrez comment résoudre les erreurs courantes qui peuvent se produire lors de la configuration de l’authentification unique.
Lorsque vous configurez l’authentification unique pour votre compte, vous pouvez tester votre configuration SSO avant de l’enregistrer afin d’éviter une mauvaise configuration de l’authentification unique et le verrouillage de vos utilisateurs. Si l’assistant de test découvre des erreurs, utilisez ce guide pour les comprendre et les résoudre.
| Erreur | Description | Résolution |
| ------------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| La requête SAML a expiré | La requête SAML comportait un horodatage qui n’est plus valide. Les requêtes SAML sont généralement assorties d’un délai afin de s’assurer que l’utilisateur s’est authentifié récemment. | Essayez de vous connecter à nouveau pour générer une nouvelle assertion SAML de votre fournisseur d’identité. |
| Réponse SAML non valide | La réponse SAML reçue du fournisseur d’identité (IdP) n’est pas conforme au format attendu ou contient des informations incorrectes. | Examinez la réponse SAML à l’aide d’outils tels que [SAML Tracer](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?hl=en) (pour Chrome) ou un outil similaire. |
| ID de l’émetteur non valide | L’identifiant de l’émetteur (également appelé identifiant de l’entité) dans la réponse SAML ne correspond pas à l’identifiant de l’émetteur configuré dans Stripe. | Connectez-vous à votre fournisseur d’identité et accédez aux paramètres d’intégration. Confirmez que l’identifiant de l’émetteur pour votre application Stripe correspond à l’identifiant de l’émetteur que vous avez configuré dans Stripe. |
| URL du fournisseur d’identité non valide | L’URL du fournisseur d’identité configurée dans Stripe qui dirige les utilisateurs vers la connexion au fournisseur d’identité est incorrecte ou inaccessible. | Connectez-vous à votre fournisseur d’identité et accédez aux paramètres d’intégration. Confirmez que l’URL du fournisseur d’identité pour votre application Stripe correspond à votre configuration dans Stripe. |
| Certificat de fournisseur d’identité non valide | Le certificat fourni par le fournisseur d’identité n’est pas valide ou n’est pas fiable. | Assurez-vous que vous utilisez le bon certificat IdP. Vous pouvez souvent trouver le dernier certificat dans le tableau de bord IdP sous les paramètres de sécurité. Si le certificat a changé, téléchargez le nouveau et remplacez le certificat existant dans votre configuration d’authentification unique. |
| L’utilisateur n’appartient pas au domaine vérifié | L’utilisateur qui tente de s’authentifier n’appartient pas au domaine autorisé. | Vérifiez le domaine associé à l’adresse e-mail de l’utilisateur. Si l’accès doit lui être accordé, vérifiez la configuration de son compte dans le fournisseur d’identité. Assurez-vous que l’adresse e-mail de l’utilisateur correspond au domaine autorisé pour l’authentification unique. Si vous devez apporter des modifications, mettez à jour le compte de l’utilisateur dans le fournisseur d’identité. |
| Aucun rôle n’a été trouvé pour l’utilisateur | Aucun rôle n’a été trouvé dans la réponse SAML pour l’utilisateur. | Assurez-vous que le fournisseur d’identité est configuré pour envoyer des assertions de rôle pour l’utilisateur. Examinez les rôles associés à l’utilisateur dans le fournisseur d’identité et vérifiez qu’ils sont correctement attribués. Pour obtenir la liste des rôles disponibles et savoir comment les configurer, consultez la rubrique [Rôles des utilisateurs](https://docs.stripe.com/get-started/account/teams/roles.md). |
| Attribution de rôle non valide par le fournisseur d’identité | L’assertion de rôle dans la réponse SAML est absente ou non valide. | Confirmez que votre fournisseur d’identité (IdP) est configuré pour envoyer les assertions de rôle nécessaires. Examinez la configuration du fournisseur d’identité et les mappages de rôles. S’il manque des assertions de rôle, consultez la documentation de l’IdP ou le service de support de l’IdP pour savoir comment les configurer correctement. |
## Autres erreurs fréquentes
Les exemples suivants sont des messages d’erreur supplémentaires que vous pouvez rencontrer et des solutions possibles.
### Erreur de configuration de votre application
Lors de la configuration de votre application, un message d’erreur indiquant un problème d’authentification peut s’afficher :
```url
{"error":{"message":"Required field","param":"RelayState"}}
```
Cela peut indiquer que vous lancez l’authentification depuis un fournisseur d’identité qui ne prend pas en charge l’authentification initiée par le fournisseur de services. Stripe exige que votre fournisseur d’identité prenne en charge l’authentification initiée par le fournisseur de services y compris pour les flux de connexion initiés par l’IdP. Ce problème peut également survenir si votre fournisseur d’identité ne transmet pas correctement le paramètre `RelayState` de la requête d’authentification avec l’assertion.
### Erreur de connexion
Lorsque vous vous connectez à Stripe, le message d’erreur suivant peut s’afficher :
```
SAML. Error: Invalid signature type
```
Cette erreur indique que la réponse SAML n’est pas signée avec le bon algorithme. L’algorithme de signature doit être `RSA-SHA256` et l’algorithme de hachage doit être `SHA256`. Nous appliquons ces normes pour des raisons de sécurité, car `SHA-256` est l’algorithme de hachage standard de l’industrie. `SHA-1`, l’ancienne norme, n’est plus considérée comme sûre. Reportez-vous à la documentation de votre fournisseur d’identité pour obtenir des conseils sur la configuration de votre intégration afin d’utiliser `SHA-256`.
### Erreur de connexion de l’interface utilisateur
Si vous ne parvenez pas à vous connecter à l’interface utilisateur via SSO après la configuration, cela peut indiquer que votre domaine n’est pas validé. Assurez-vous que le domaine exact utilisé dans votre adresse e-mail est bien vérifié sur la page [Authentification unique (SSO)](https://dashboard.stripe.com/settings/security/sso).
Si vous avez validé le même domaine dans plusieurs comptes avec des configurations de fournisseur d’identité différentes, nous ne pouvons pas déterminer quel fournisseur d’identité utiliser. Pour résoudre ce problème, utilisez l’URL suivante avec votre domaine vérifié pour vous connecter directement à votre compte avec l’authentification unique. Cette URL comprend le domaine et le compte pour l’authentification. En changeant le token de compte à la fin de l’URL, vous pouvez vous authentifier auprès d’un autre compte.
```
https://dashboard.stripe.com/login/saml_direct/domain/{{YOUR_DOMAIN}}/merchant/{{STRIPE_ACCOUNT_ID}}
```
Si vous disposez d’un autre compte qui n’est pas soumis à l’authentification unique et que vous n’avez pas validé l’adresse e-mail associée, validez-la, puis réessayez.
### Erreur de rôle manquant
Si vous rencontrez une erreur indiquant que vous devez disposer d’un rôle lorsque vous tentez de vous connecter après avoir configuré l’authentification unique, cela signifie que nous n’avons pas reçu de rôle pour l’utilisateur dans l’assertion SAML de la part du fournisseur d’identité. Vérifiez que l’assertion envoyée à Stripe contient l’attribut suivant.
```xml
role_id
```
Si l’assertion contient déjà cet attribut, assurez-vous d’envoyer un `role_id` valide.
### Erreur de token CSRF
Si vous rencontrez une erreur de jeton CSRF, vérifiez que vous avez correctement configuré les URL dans votre fournisseur d’identité. Portez une attention particulière aux paramètres **SSO URL** (URL SSO), **Audience URI** (URI d’audience) ou **Entity ID** (ID d’entité) comme indiqué dans la documentation, et assurez-vous de les avoir saisis correctement dans la configuration de votre fournisseur d’identité.
### Accès bloqué au Dashboard
Si l’accès au Dashboard Stripe est verrouillé pour un seul membre de l’équipe, cela signifie généralement que la configuration de ce dernier au sein du fournisseur d’identité est incorrecte. Le plus souvent, le problème vient du fait que la demande d’authentification SAML ne contient pas de rôle pour chaque compte Stripe auquel le membre de l’équipe doit accéder. Celui-ci doit contacter l’administrateur de son fournisseur d’identité pour s’assurer que sa configuration est correcte.
Si l’accès au Dashboard Stripe est verrouillé pour tous les membres de l’équipe, les paramètres d’authentification unique sont peut-être mal configurés ou il peut y avoir un problème avec le fournisseur d’identité (par exemple, une panne). Dans ce cas, le représentant du compte doit contacter le [service Support de Stripe](https://support.stripe.com/contact). Après une vérification d’identité, nous modifions la configuration de l’authentification unique du compte en remplaçant `Required` par `Optional` pour que l’administrateur du fournisseur d’identité puisse se connecter et apporter les corrections nécessaires.
## Limites de l’authentification unique
Stripe ne prend pas en charge les fonctionnalités d’authentification unique suivantes :
- **Suppression d’utilisateur dans SAML** : en raison des limites du protocole SAML, Stripe ne reçoit pas de notification lorsqu’un accès utilisateur est révoqué dans le fournisseur d’identité. Si un utilisateur tente de se reconnecter via SSO après l’expiration de sa session, Stripe révoque automatiquement son accès. Pour supprimer l’accès immédiatement, supprimez l’utilisateur dans vos [Paramètres d’équipe](https://dashboard.stripe.com/settings/team) ou activez le provisionnement des utilisateurs via SCIM.
- **Authentification par application mobile** : nous ne prenons pas en charge l’authentification unique via les applications mobiles de Stripe.
- **Configurer la durée de la session SSO** : la durée de la session SSO est fixée à 12 heures et n’est pas configurable.
- **Connexion native initiée par l’IdP** : Stripe exige une authentification initiée par le fournisseur de services pour que la connexion initiée par le fournisseur d’identité fonctionne. La connexion native initiée par l’IdP n’est pas prise en charge pour des raisons de sécurité liées au protocole SAML. Par exemple, l’assertion SAML pourrait être captée dans le cadre d’une « attaque de l’intercepteur », puis relue à un autre moment pour obtenir un accès non autorisé à un compte. Lorsqu’un membre de l’équipe tente de se connecter à l’aide de son fournisseur d’identité, Stripe traite la demande comme une connexion initiée par le fournisseur de services et valide l’authentification comme prévu.
Les fonctionnalités d’authentification unique suivantes sont prises en charge avec des limitations :
- **Création de compte Just-in-Time** : si un membre de l’équipe est ajouté à votre fournisseur d’identité, Stripe gère la création Just-in-Time pour ce membre. Cela signifie que si le membre de l’équipe se connecte au Dashboard Stripe via authentification unique et ne dispose pas encore d’un compte Stripe, nous en créons un pour lui. Lorsque vous modifiez le rôle d’un membre de l’équipe dans le Dashboard, Stripe met à jour son rôle lors de sa prochaine connexion.
## Fonctionnalités prises en charge par l’authentification unique
Stripe prend en charge les fonctionnalités d’authentification unique suivantes :
- **Membres de l’équipe ayant des rôles différents** : lors de la connexion, votre fournisseur d’identité doit envoyer le rôle approprié du membre de l’équipe dans l’AttributeStatement. Pour un exemple concret, consultez la section consacrée au [mappage de rôles utilisateur à des groupes](https://docs.stripe.com/get-started/account/sso/okta.md#assign-stripe-roles) d’Okta.
- **Se connecter à plusieurs comptes à l’aide d’une seule assertion SAML** : envoyez à Stripe une assertion de votre fournisseur d’identité avec plusieurs attributs de rôle contenant tous les ID de compte auxquels vous souhaitez configurer l’accès. Par exemple :
```xml
role_id
role_id
```
- **Désactiver le SSO** : vous pouvez définir le **mode d’application** de votre compte sur **Désactivé** depuis la page [Authentification unique (SSO)](https://dashboard.stripe.com/settings/security/sso) afin de désactiver le SSO. Cela supprime l’accès pour tout utilisateur qui ne peut accéder à l’équipe que via SAML, y compris les utilisateurs ne disposant pas de mot de passe.
- **Migrer vers un autre fournisseur d’identité** : pour migrer vers un autre fournisseur d’identité, mettez à jour vos paramètres SSO depuis la page [Authentification unique (SSO)](https://dashboard.stripe.com/settings/security/sso). Avant toute mise à jour, définissez le **mode d’application** de votre compte sur **Facultatif**.
Ainsi, en cas de problème, vous pouvez toujours vous connecter au Dashboard Stripe avec votre e-mail et votre mot de passe. Si vous disposez d’un compte de test, mettez d’abord à jour vos paramètres d’authentification unique dans votre compte de test et validez les nouveaux paramètres avant de mettre à jour vos autres comptes.