Cette rubrique explique comment résoudre les problèmes d'authentification unique les plus courants.

Quand l’option « Certificat de client SSL obligatoire » est activée, l’utilisateur ne peut pas s’authentifier à l’aide de la fonctionnalité d'authentification unique SAML.

Dans le profil utilisateur dans MOVEit Transfer, si SSL Client Cert Required (Certificat de client SSL obligatoire) est défini sur Yes (Oui), l’utilisateur n’est pas authentifié. Vous devez définir cette option sur No (Non). (Notez que ce type d’échec de tentative de connexion n’est pas consigné dans le journal d’audit.) Pour utiliser un certificat client, vous devez configurer sa prise en charge par le fournisseur d’identité.

Erreur d'authentification sur la page de connexion MOVEit

En cas d’échec de l’authentification par connexion unique, l’utilisateur peut voir s’afficher la notification suivante sur la page de connexion MOVEit Transfer : 

Unable to authenticate with Identity Provider or not allowed to sign on from this location. (Impossible de s’authentifier auprès du fournisseur d’identité ou non autorisé à se connecter depuis cet emplacement.)

Suivez le processus ci-dessous pour identifier et résoudre le problème :

  1. Confirmez vos paramètres. Vérifiez les points suivants :
    • Vous avez activé une interface consommateur d’assertion qui est compatible avec votre fournisseur d’identité.
    • Votre fournisseur d’identité utilise la version la plus récente de votre fichier de métadonnées MOVEit Transfer, et votre serveur MOVEit utilise la version la plus récente du fichier de métadonnées du fournisseur d’identité.
    • Le paramètre Skew Allowance (Tolérance de différence de temps) du fournisseur d’identité MOVEit est défini sur une valeur suffisamment élevée.
    • Le fournisseur d’identité MOVEit est paramétré pour autoriser l’ajout de nouveaux utilisateurs lors de leur authentification.
    • Les paramètres de groupe et d’utilisateur du fournisseur d’identité MOVEit sont configurés correctement.

      Pour plus d’informations sur les paramètres MOVEit, reportez-vous à la page Authentification d’utilisateur - Authentification unique. Pour plus d’informations sur les paramètres propres au fournisseur d’identité, reportez-vous à la documentation de votre fournisseur d’identité.

      Quand tous les paramètres sont correctement définis, vous pouvez poursuivre.

  2. Examinez dans le DMZ_Web.log situé dans <DMZ_Install_Dir>\Logs (par exemple : C:\MOVEitDMZ\Logs). En fonction de vos paramètres définis pour les journaux de diagnostic, l’erreur peut être consignée dans ces fichiers journaux. Pour vérifier vos paramètres de journalisation actuels, accédez à Start Menu > Programs > MOVEit Transfer > MOVEit Transfer Config > Status Tab (Menu Démarrer > Programmes > MOVEit Transfer > Configuration > Onglet Statut). Pour afficher les problèmes liés à l’authentification, le paramètre « User Error » (Erreur utilisateur) est suffisant. Pour afficher les informations de débogage complètes, utilisez le paramètre « All Debug » (Toutes les informations de débogage).

    Confirmez les paramètres de journalisation.

  3. Examinez les dernières entrées de journal. Si vous avez modifié les paramètres de journalisation à l’étape précédente, demandez à l’utilisateur d’effectuer une nouvelle tentative de connexion pour pouvoir examiner les entrées de journal.

    Erreurs possibles :

    Error in authentication response from Identity Provider (Erreur de réponse d’authentification du fournisseur d’identité)

    L’erreur suivante indique un problème provenant de votre fournisseur d’identité :

    BindingHandler.AuthenticateSAMLResponse: Authentication not successful: Code:urn:oasis:names:tc:SAML:2.0:status:ResponderSILUser.ExecuteAuthenticators: User '' failed to authenticate with authenticator: SAML Assertion Authenticator

    En outre, certains fournisseurs d’identité consignent les erreurs dans le journal des événements Windows ou dans leurs propres fichiers journaux. Si vous voyez cette erreur dans les fichiers journaux MOVEit, examinez le journal des événements Windows ou les autres journaux enregistrés sur la machine de votre fournisseur d’identité. Recherchez d’éventuelles entrées indiquant la cause de l’échec de l’authentification par le fournisseur d’identité.

    Error in MOVEit Single Signon configuration: authentication request (Erreur de configuration de la connexion unique MOVEit : demande d’authentification)

    L’erreur suivante indique un problème provenant de votre serveur MOVEit Transfer> Serveur.

    Authentication not successful: Code:urn:oasis:names:tc:SAML:2.0:status:Requester

    Pour confirmer vos configurations, reportez-vous à la page Authentification d’utilisateur - Authentification unique. Vous trouverez également des informations utiles sur le portail client MOVEit.

    Erreur dans la configuration de l'authentification unique MOVEit : Skew Allowance (Erreur de configuration de la connexion unique MOVEit : Tolérance de différence de temps)

    L’erreur suivante indique un problème lié au paramètre « Skew Allowance » (Tolérance de différence de temps) :

    SAMLAuthenticator.AllowedByConditions: Current time (2013-12-18T20:23:01.3936301Z) is outsideof assertion valid time range (2013-12-18T20:23:01.756Z to 2013-12-18T21:23:01.756Z) with skewallowance 00:00:00 SILUser.ExecuteAuthenticators: User 'user1' failed to authenticate withauthenticator: SAML Assertion Authenticator

    Pour résoudre ce problème, modifiez le paramètre Skew Allowance (Tolérance de différence de temps) du fournisseur d’identité MOVEit de manière appropriée.