Проблемы, возникающие при аутентификации в КриптоПро DSS с использованием учетных записей AD
Опубликовано Андрей Солдатов on 2020-09-28 21:58

1. Ошибка при аутентификации пользователя AD

При аутентификации пользователя AD в КриптоПро DSS появляется ошибка:

При анализе журнала ADFS можно обнаружить следующую ошибку:

Возможная причина возникновения ошибки: указан некорректный адрес проверяющей стороны КриптоПро DSS в ADFS/адрес указан без соблюдения регистра.

2. Ошибка «Учетные данные не содержат утверждения»

При аутентификации пользователя AD в КриптоПро DSS, после ввода учетных данных, появляется ошибка «Учетные данные не содержат утверждения http://schemas.microsoft.com/ws/2008/06/identity/claims/role»

Возможные причины возникновения ошибки:
- в ADFS не добавлены правила преобразования утверждений, в соответствие с п. 2.4 – для WSFed или п. 3.4 руководства – для Oidc;
- были допущены ошибки при добавлении правил преобразования утверждений.

3. Ошибка «Пользователь не состоит ни в одной роли, либо из внешнего ЦИ передан неверный набор утверждений»

При аутентификации пользователя AD в КриптоПро DSS, после ввода учетных данных, появляется ошибка «Пользователь не состоит ни в одной роли, либо из внешнего ЦИ передан неверный набор утверждений»:

Возможные причины возникновения ошибки:
- в ADFS не добавлены правила преобразования утверждений, в соответствие с п. 2.4 – для WSFed или п. 3.4 руководства – для Oidc;
- были допущены ошибки при добавлении правил преобразования утверждений;
- осуществляется аутентификация в личном кабинете пользователя КриптоПро DSS, с использованием учетной записи Пользователя AD, состоящего в группе Операторов.

4. Ошибка «Проверка сертификата обработчиком маркеров не прошла»

При аутентификации пользователя AD в КриптоПро DSS появляется ошибка «Проверка сертификата обработчиком маркеров не прошла»:

Возможная причина возникновения ошибки:
При выполнении командлета Add-DssIdentityProvider, в соответствие с п. 2.1 – для WSFed или п. 3.2 руководства - для Oidc, был указан отпечаток неправильного сертификата.

5. Ошибка «Учётные данные должны содержать только одно утверждение»

При аутентификации оператора AD в КриптоПро DSS появляется ошибка «Учётные данные должны содержать только одно утверждение: http://schemas.microsoft.com/ws/2008/06/identity/claims/role»

Возможная причина возникновения ошибки:
С ADFS приходит маркер, который содержит в себе два утверждения Role, что вызвано ошибками при добавлении правил преобразования утверждений, в соответствие с п. 2.4 – для WSFed или п. 3.4 руководства – для Oidc.

6. Ошибка «ID4036»

При аутентификации пользователя/оператора AD в КриптоПро DSS появляется ошибка «ID4036: не удалось разрешить ключ, необходимый для расшифровки зашифрованного маркера безопасности, из следующего идентификатора ключа безопасности»:

Возможные причины возникновения ошибки:
- При настройке отношений доверия проверяющей стороны по протоколу WSFed, в соответствие с п. 2.2.7 руководства, был выбран сертификат, не соответствующий актуальному сервисному сертификату ЦИ КриптоПро DSS.
- На стороне КриптоПро DSS была выполнена замена сервисного сертификата ЦИ DSS, однако данный сертификат не был заменен в настройках проверяющей стороны ADFS (консоль управления ADFS → Отношения доверия проверяющей стороны → Открыть свойства проверяющей стороны → Шифрование → Обзор → Выбрать актуальный сервисный сертификат ЦИ КриптоПро DSS).

7. Ошибка «ID4037»

При аутентификации пользователя/оператора AD в КриптоПро DSS появляется ошибка «Не удалось разрешить ключ, необходимый для проверки подписи, из следующего идентификатора ключа безопасности»:

Возможные причины возникновения ошибки:
- При выполнении командлета Add-DssIdentityProvider, в соответствие с п. 2.1 – для WSFed или п. 3.2 руководства - для Oidc, был указан отпечаток неправильного сертификата.
- Был опубликован новый сертификат подписи маркеров ADFS, однако отпечаток данного сертификата не был указан на стороне КриптоПро DSS. Необходимо установить актуальный сертификат подписи маркеров в хранилище «Доверенные лица» локального компьютера сервера DSS, выполнить командлет: Set-DssIdentityProvider -IssuerName ADFS -Thumbprint "Отпечаток актуального сертификата подписи маркеров ADFS" и перезапустить пул приложений ЦИ КриптоПро DSS.

 

(6 плюсик(ов))
Класс!
Не очень :(