Troubleshooting


Anwendung startet nicht

 Prüfen Sie den Inhalt der portal_spring.log Datei

FRAGE: Existiert zum Startzeitpunkt ein Eintrag: "[...] [ERROR] Context initialization failed org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'springWebConfig': Unsatisfied dependency expressed through field 'passwordPolicyService' [...]"?

 Ja

VERMUTUNG: Verbindung zur Datenbank kann nicht hergestellt werden

FRAGE: Verwenden Sie eine JNDI Verbindung?

 Ja

LÖSUNGSANSATZ: Prüfen Sie ob der Applikationsserver die Datenbank über das Netzwerk erreichen kann und ob der im Applikationsserver hinterlegten Verbindungsparameter korrekt sind.

 Nein
 VERMUTUNG: Verbindungsparameter in den <property>-Tags der persistance.xml Datei nicht korrekt

LÖSUNGSANSATZ: Prüfen Sie ob der Applikationsserver die Datenbank über das Netzwerk erreichen kann und ob die Verbindungsparameter in den <property>-Tags der persistance.xml Datei korrekt sind

 VERMUTUNG: In der persistance.xml Datei existiert neben den bearbeiteten <property>-Tags auch noch zu Beginn der Datei das <non-jta-data-source>-Tag

LÖSUNGSANSATZ: Löschen Sie das <non-jta-data-source>-Tag vollständig aus der persistance.xml Datei

Anmeldung an einem Modul über Modul URL funktioniert nicht

 Nach Login erscheint die Meldung "{"error":"invalid_request","error_description":"not authorized"}"

FRAGE: Können Sie sich über die Portal URL direkt am Portal anmelden?

 Ja

VERMUTUNG: Autorisierungsparameter des Moduls sind nicht korrekt

LÖSUNGSANSATZ: Melden Sie sich am Portal an. Navigieren Sie zu Administration → Module. Löschen Sie das entsprechende Modul über das Papierkorb-Symbol. Starten Sie den Applikationsserver des Moduls neu.

KeyStore Datei wird bei SAML Konfiguration nicht angenommen

 Nach dem Hinzufügen ein p12 Keystore Datei weist die SP Metadaten XML keine KeyInfo Tags auf

FRAGE: Wurde das p12 Zertifikat unter expliziter Angabe eines Alias erstellt?

 Nein

VERMUTUNG: Das Alias des Zertifikats wurde generiert und nicht korrekt in die SAML Konfiguration eingetragen

LÖSUNGSANSATZ: Führen Sie in einer Kommandozeile folgenden Befehl aus: keytool -list -v -keystore <keystorefile> -storepass <password> -storetype PKCS12

Als Resultat werden Ihnen alle Zertifikate inklusive Aliasname angezeigt. Ermitteln Sie das notwendige Alias und korrigieren Sie ggf. die Eingabe in der Single Sign-On Konfiguration. Häufig ist das Alias bei generierten Zertifikaten einfach 1.

 SP Metadaten XML weist KeyInfo Tags auf, aber der SAML Request wird nicht signiert

FRAGE: Nach einem wegen fehlender Signierung fehlgeschlagenen SAML Request steht im Portal System Log die Fehlermeldung "java.security.UnrecoverableKeyException: Get Key failed: java.security.InvalidKeyException: Invalid RSA private key"?

 Ja

VERMUTUNG: p12 Zertifikat passt nicht zur verwendeten Java Version

FRAGE: Ist die Java Version auf dem Applikationsserver jünger als 8u121?

 Ja

VERMUTUNG: Das Zertifikat wurde mit einem Tool älter als die Java Version 8u121 erstellt

LÖSUNGSANSATZ: Erstellen Sie das Zertifikat mit einem aktuellen Tool neu und laden Sie dies in der Signle Sign-On Konfiguration erneut hoch

SSO Anmeldung über SAML funktioniert nicht

 Nach SSO Anmeldung über SAML erscheint unmittelbar die Meldung "Sie besitzen nicht die notwendigen Berechtigungen, um diese Funktion nutzen zu können."

FRAGE: Im System Log findet sich zum Zeitpunkt des Anmeldeversuchs die Meldung "Cannot create SAML Response com.coveo.saml.SamlException: The assertion signature is invalid".

 Ja

VERMUTUNG: Hinterlegtes Signierungszertifikat in Metadaten für den Identity Provider passt nicht zum tatsächlichen Signierungszertifikat des Identity Providers.

LÖSUNGSANSATZ: Exportieren Sie erneut die Metadaten aus dem Identity Provider und hinterlegen Sie diese noch mal neu in der Single Sign-On Konfiguration

 Nein

VERMUTUNG: SAML-Benutzer kann nicht auf Portal-Benutzer gemapped werden

FRAGE: Im System Log findet sich zum Zeitpunkt des Anmeldeversuchs die Meldung "Cannot find user for SAML login ...".

 Ja

VERMUTUNG: SAML-Response enthält nicht gewünschten Loginname oder Loginname steht in einem anderem Attribut

LÖSUNGSANSATZ:

  1. Navigieren Sie mit einem gültigen Benutzer in den Logger Dialog und stellen Sie den com.coveo.saml.SamlClient auf ALL
  2. Melden Sie sich mit dem gewünschten Benutzer am Portal an bis die Meldung "Sie besitzen nicht die notwendigen Berechtigungen, um diese Funktion nutzen zu können." erscheint
  3. Navigieren Sie mit einem gültigen Benutzer in den Logger Dialog, stellen Sie den com.coveo.saml.SamlClient wieder zurück auf ERROR und laden Sie die com.coveo.saml.SamlClient Logger Datei herunter
  4. Öffnen Sie die Log Datei und kopieren Sie den SAML Response (Zeichenkette nach "Validating SAML response" bis zum nächsten Datum) heraus und in den Notepad++ Editor
  5. Dort markieren Sie den SAML Response, klicken auf Plugins → MIME Tools → Base 64 Decode
  6. Suchen Sie im decodierten SAML Response nach dem gewünschten Anmeldename und überprüfen Sie, ob das Attribute des Anmeldenamen zu der Mapping Loginname Einstellung in der Single Sign-On Konfiguration passt