Проблемы, возникающие при аутентификации в КриптоПро DSS с использованием учетных записей AD
Опубликовано Андрей Солдатов on 2020-09-28 21:58

1. Ошибка при аутентификации пользователя AD

При аутентификации пользователя AD в КриптоПро DSS появляется ошибка:

При анализе журнала ADFS можно обнаружить следующую ошибку:

Возможная причина возникновения ошибки: указан некорректный адрес проверяющей стороны КриптоПро DSS в ADFS/адрес указан без соблюдения регистра.

2. Ошибка «Учетные данные не содержат утверждения»

При аутентификации пользователя AD в КриптоПро DSS, после ввода учетных данных, появляется ошибка «Учетные данные не содержат утверждения http://schemas.microsoft.com/ws/2008/06/identity/claims/role»

Возможные причины возникновения ошибки:
- в ADFS не добавлены правила преобразования утверждений, в соответствие с п. 2.4 – для WSFed или п. 3.4 руководства – для Oidc;
- были допущены ошибки при добавлении правил преобразования утверждений.

3. Ошибка «Пользователь не состоит ни в одной роли, либо из внешнего ЦИ передан неверный набор утверждений»

При аутентификации пользователя AD в КриптоПро DSS, после ввода учетных данных, появляется ошибка «Пользователь не состоит ни в одной роли, либо из внешнего ЦИ передан неверный набор утверждений»

Возможные причины возникновения ошибки:
- в ADFS не добавлены правила преобразования утверждений, в соответствие с п. 2.4 – для WSFed или п. 3.4 руководства – для Oidc;
- были допущены ошибки при добавлении правил преобразования утверждений;
- осуществляется аутентификация в личном кабинете пользователя КриптоПро DSS, с использованием учетной записи Пользователя AD, состоящего в группе Операторов.

4. Ошибка «Проверка сертификата обработчиком маркеров не прошла»

При аутентификации пользователя AD в КриптоПро DSS появляется ошибка «Проверка сертификата обработчиком маркеров не прошла»

Возможная причина возникновения ошибки:
При выполнении командлета Add-DssIdentityProvider, в соответствие с п. 2.1 – для WSFed или п. 3.2 руководства или руководства, был указан отпечаток неправильного сертификата.

5. Ошибка «Учётные данные должны содержать только одно утверждение»

При аутентификации оператора AD в КриптоПро DSS появляется ошибка «Учётные данные должны содержать только одно утверждение: http://schemas.microsoft.com/ws/2008/06/identity/claims/role»

Возможная причина возникновения ошибки:
С ADFS приходит маркер, который содержит в себе два утверждения Role, что вызвано ошибками при добавлении правил преобразования утверждений, в соответствие с п. 2.4 – для WSFed или п. 3.4 руководства – для Oidc.

(2 плюсик(ов))
Класс!
Не очень :(