Résolution des problèmes de Sign-On d’entreprise unique
Cette rubrique fournit des informations sur les problèmes connus susceptibles de se produire lors de l'utilisation de l'authentification unique (SSO) de l'entreprise.
Quand vous commencerez à résoudre les problèmes liés à votre environnement SSO, il pourra être judicieux que vous passiez en revue les points du tableau suivant pour vous assurer que tous les composants fonctionnent correctement :
| Question | Commentaires |
|---|---|
| Quelque chose dans le journal des événements de l'application se rapporte-t-il au système SSO ? | Les messages SSO du journal des événements peuvent vous aider à identifier le problème que pose le système SSO. La source des messages provenant du système SSO est ENTSSO. Important: La plupart des erreurs et événements d’authentification unique apparaissent sous la forme d’avertissements dans le journal des événements, et non sous la forme d’erreurs. Le système SSO génère un avertissement lorsque le problème touche un client unique du service SSO, et génère des erreurs lorsque l'ensemble du système SSO (tous les clients) est concerné. |
| Le service SSO est-il correctement installé ? Démarre-t-il normalement ? Sous quel compte de service le service SSO est-il exécuté ? |
Assurez-vous que le service SSO est correctement installé et que le compte de service est membre du groupe des administrateurs SSO. |
| Où se trouve la base de données d'authentification unique ? | Utilisez la ligne de commande ssoconfig -showdb. Pour plus d’informations sur cette commande, consultez Comment afficher les informations de base de données d’authentification unique. |
| Quel serveur SSO est utilisé ? | Utilisez la ligne de commande ssomanage -showserver. Pour plus d’informations sur cette commande, consultez Comment définir le serveur d’authentification unique. |
| Qu'est-ce que le compte de l'administrateur SSO ? | Utilisez la ligne de commande ssomanage –displaydb. Pour plus d’informations sur cette commande, consultez Comment afficher les informations de base de données d’authentification unique. |
| Est-ce que tout a bien été activé ? | Utilisez la ligne de commande ssomanage –displaydb. Pour plus d’informations sur cette commande, consultez Comment afficher les informations de base de données d’authentification unique. |
| Les applications associées existent-elles ? | Utilisez la ligne de commande ssomanage –listapps all. Pour plus d’informations sur cette commande, consultez Guide pratique pour répertorier les applications affiliées. |
| L'application associée semble-t-elle correcte ? Quels comptes utilisent cette application ? |
Utilisez la ligne de commande ssomanage –nom de l’application> displayapp<. Pour plus d’informations sur cette commande, consultez Guide pratique pour répertorier les propriétés d’une application affiliée. |
| Existe-t-il des mappages pour cette application associée ? | Utilisez le nom de l’application ssomanage -listmappings<de ligne de commande.> Pour plus d’informations sur cette commande, consultez Guide pratique pour répertorier les mappages d’utilisateurs. |
| Quels comptes sont membres des groupes SSO ? | Vérifiez l'appartenance aux groupes SSO de tous les comptes. |
| L'application COM+ du serveur SSO s'exécute-t-elle correctement ? | Vérifiez le serveur SSO de l'application COM+. Note: Vous pouvez également case activée le journal des événements pour obtenir des informations détaillées, telles que les messages d’événement et d’avertissement. |
Problèmes connus
Le service ENTSSO ne démarre pas
Problème
Le service ENTSSO ne démarre pas.
Cause
Si le service ENTSSO n'est pas exécuté sous un compte d'administrateur SSO valide, il ne démarrera pas.
Résolution
Spécifiez un compte d'administrateur SSO valide pour le service ENTSSO et redémarrez ce dernier à partir du composant logiciel enfichable Gestionnaire de contrôle des services (SCM).
Échec du démarrage des services BizTalk dépendant du service de l'authentification unique de l'entreprise (ENTSSO) après un redémarrage.
Problème
BTSSvc$BizTalkServerApplication possède une dépendance vis-à-vis du service de l'authentification unique de l'entreprise (ENTSSO) et risque d'expirer lors du démarrage ou après un redémarrage.
Cause
Le service de l'authentification unique de l'entreprise prend approximativement 3 minutes pour démarrer.
Résolution
Configurez le service « Groupe BizTalk des services BizTalk : BizTalkServerApplication » avec l'option de type de démarrage Automatique (début différé). Le démarrage du service sera ainsi initié après la fin de l'exécution des routines de démarrage des services automatiques.
Impossible d'accéder à une application associée
Problème
Le service SSO de l'entreprise désactive une application associée si le compte d'administrateur d'application qui lui correspond n'est pas valide.
Cause
Le compte d'administrateur de l'application SSO n'est pas valide.
Résolution
Assurez-vous que le compte d'administrateur de l'application SSO est valide avant de créer une application associée. Vous devez ensuite activer l'application associée pour utiliser l'application.
Une erreur RPC se produit lors de la connexion à un ordinateur client
Problème
Lorsqu’un utilisateur exécute une commande telle que ssomanage -displayapp<applicationname>, où l’ordinateur tente de se connecter à un serveur d’authentification unique distant pour récupérer les informations, il reçoit l’erreur suivante : ERREUR : 0x800706BA : Le serveur RPC n’est pas disponible.
Cause
Cette erreur se produit quand l'utilisateur ne spécifie pas les informations de serveur correctes ou quand le service SSO n'est pas disponible sur le serveur distant.
Résolution
Suivez les étapes décrites dans Comment définir le serveur d’authentification unique pour vous assurer que vous êtes connecté au serveur d’authentification unique approprié.
Assurez-vous que le service SSO est activé et qu'il s'exécute sur le serveur SSO auquel vous vous connectez.
Le secret principal est manquant ou corrompu
Problème
Le secret principal est manquant ou corrompu. Il est normalement généré lors de la configuration. S'il est manquant, l'un des messages suivants s'affiche dans le journal des événements au moment du démarrage du service SSO de l'entreprise.
MessageId=10520
Severity=Warning
SSO_WARN_NO_SECRETS
MessageId=10565
Severity=Error
SSO_ERROR_SECRET_VALIDATE_FAILED
MessageId=10521
Severity=Error
SSO_ERROR_SECRETS_NOT_LOADED
Cause
Ce problème peut se produire si un secret a été généré pendant que le service SSO de l'entreprise était exécuté avec un certain compte de service, et que ce compte a ensuite été modifié. Le secret est stocké dans le registre sous une forme chiffrée et son chiffrement est réalisé à l'aide d'une clé en fonction de l'identité du compte de service (sous lequel ENTSSO est exécuté).
Résolution
Remplacez le compte de service sous lequel ENTSSO est exécuté par le compte de service utilisé lorsque le secret principal a été créé.
Pour modifier le compte du service ENTSSO :
Sauvegardez le secret principal. Pour plus d’informations, consultez Comment sauvegarder le secret principal.
Arrêtez les services SSO de l'entreprise.
Modifiez le compte du service.
Redémarrez SSO et ignorez les erreurs du journal des événements relevant l'éventuelle corruption d'un secret.
Restaurez le secret principal. Pour plus d’informations, consultez Comment restaurer le secret principal.