Sobre problemas com a autenticação SAML
O GitHub Enterprise Server registra mensagens de erro relacionadas a falhas de autenticação SAML nos log de autenticação em /var/log/github/auth.log. É possível revisar as respostas nesse arquivo de log e configurar logs mais detalhados.
Para saber mais sobre esses requisitos de resposta SAML, confira "Referência de configuração do SAML".
Configurando a depuração do SAML
É possível configurar o GitHub Enterprise Server a fim de gravar logs de depuração detalhados para cada tentativa de autenticação SAML. É possível que você possa solucionar problemas com tentativas de autenticação com esta saída extra.
Avisos:
- Habilite apenas a depuração do SAML temporariamente e desabilite a depuração imediatamente após terminar a solução de problemas. Se você deixar a depuração habilitada, o tamanho do arquivo aumentará muito mais rapidamente do que o normal, o que pode afetar negativamente o desempenho do GitHub Enterprise Server.
- Teste as novas configurações de autenticação de sua instância do GitHub Enterprise Server em um ambiente de preparo antes de aplicá-las ao ambiente de produção. Para obter mais informações, confira "Configurar uma instância de preparo".
-
No canto superior à direita de GitHub Enterprise Server, clique na sua foto do perfil e clique em Configurações da empresa.
-
Na barra lateral da empresa, clique em Políticas.
-
Em Políticas, clique em Opções.
-
Em "Depuração do SAML", selecione o menu suspenso e clique em Habilitado.
-
Tentar entrar em sua instância do GitHub Enterprise Server por meio do IdP do SAML.
-
Examine a saída de depuração no /var/log/github/auth.log em sua instância do GitHub Enterprise Server.
-
Quando terminar de resolver os problemas, selecione o menu suspenso e clique em Desabilitado.
Decodificar respostas
Algumas saídas no /var/log/github/auth.log podem ser codificadas em Base64. Você pode acessar o shell administrativo e usar o utilitário base64
em sua instância do GitHub Enterprise Server para decodificar essas respostas. Para obter mais informações, confira "Acesar o shell administrativo (SSH)".
Para decodificar a saída, execute o comando apresentado a seguir, substituindo ENCODED_OUTPUT pela saída codificada do log.
base64 --decode ENCODED_OUTPUT
Erro: "Outro usuário já possui a conta"
Quando um usuário entra em sua instância do GitHub Enterprise Server pela primeira vez com a autenticação SAML, o GitHub Enterprise Server cria uma conta de usuário na instância e mapeia a NameID
e nameid-format
do SAML para a conta.
Quando o usuário se conecta novamente, o GitHub Enterprise Server compara o mapeamento de NameID
e nameid-format
da conta com a resposta do IdP. Se a NameID
ou nameid-format
na resposta do IdP não corresponder mais à esperada pelos valores do GitHub Enterprise Server para o usuário, ocorrerá uma falha na entrada. O usuário receberá a seguinte mensagem.
Outro usuário já possui a conta. Solicite ao administrador que verifique o registro de autenticação.
De modo geral, a mensagem indica que o nome de usuário ou endereço de email da pessoa foi alterado no IdP. Verifique se o mapeamento de NameID
e nameid-format
da conta do usuário no GitHub Enterprise Server corresponde a NameID
e nameid-format
do usuário no IdP. Para obter mais informações, confira "Como atualizar a NameID do SAML de um usuário".
Se a resposta SAML não estiver assinada ou se a assinatura não corresponder ao conteúdo, o log de autenticação mostrará a seguinte mensagem de erro:
Se o Recipient
não corresponder à URL do ACS em sua instância do GitHub Enterprise Server, uma das duas mensagens de erro a seguir será exibida no log de autenticação quando um usuário tentar se autenticar.
Recipient in the SAML response must not be blank.
Recipient in the SAML response was not valid.
Defina o valor de Recipient
no IdP como a URL completa do ACS de sua instância do GitHub Enterprise Server. Por exemplo, https://ghe.corp.example.com/saml/consume
.
Erro: "Resposta do SAML não foi assinada ou foi modificada"
Se seu IdP não assinar a resposta do SAML ou a assinatura não corresponder ao conteúdo, será exibida a seguinte mensagem de erro no registro de autenticação.
SAML Response is not signed or has been modified.
Verifique se você configurou as declarações assinadas para o aplicativo do GitHub Enterprise Server no seu IdP.
Erro: "Audiência é inválida" ou "Nenhuma declaração encontrada"
Se a resposta do IdP tiver um valor ausente ou incorreto para Audience
, a mensagem de erro a seguir será exibida no log de autenticação.
Audience is invalid. Audience attribute does not match https://YOUR-INSTANCE-URL
Defina o valor de Audience
no IdP como a EntityId
de sua instância do GitHub Enterprise Server, que é a URL completa da instância. Por exemplo, https://ghe.corp.example.com
.
Erro: "A hora atual é anterior à condição NotBefore"
Esse erro pode ocorrer quando há uma diferença de tempo muito grande entre o IdP e o GitHub Enterprise Server, o que geralmente ocorre com IdPs auto-hospedados.
Para evitar esse problema, recomendamos apontar o dispositivo para a mesma origem do protocolo NTP que o IdP, se possível. Se você encontrar esse erro, verifique se a hora no dispositivo está sincronizada corretamente com o servidor NTP.
Se você usa o ADFS como o IdP, defina também NotBeforeSkew
no ADFS como 1 minuto para o GitHub. Se NotBeforeSkew
for definido como 0, mesmo diferenças de tempo muito pequenas, incluindo milissegundos, poderão causar problemas de autenticação.