Indhold i artiklen:
- Email domæne ikke konfigureret til SSO i Acubiz
- Bruger adgang ikke opsat i kundens AD system (fejl AADSTS50105)
- Fejl 401 Not authorized
- Package managers (MDM, Intune eller lign)
- SSO i App: Når mobilen har gemt Microsoft login cookie for en privat email
- SAML Certifikat skal fornyes.
Email domæne ikke konfigureret til SSO i Acubiz
⚠️Fejl: Når brugeren straks efter indtastning af e-mail på det første skærmbillede bliver afvist og modtager en fejlmeddelelse i stil med: "Selected user account does not exist in tenant ...."
ℹ️Årsag: virksomhedens email-domæne ikke er opsat/konfigureret i Acubiz ADFS-system. Dette opstår typisk, når kunden allerede har implementeret SSO, men efterfølgende får nogle brugere med e-mailadresser under et nyt domæne.
✅Løsning: Virksomheden skal indgå en aftale om opsætning af det nye domæne med Acubiz Support. Tilføjelsen af et nyt domæne i opsætningen medfører en ekstra omkostning.
⚙️Løses af: Acubiz skal foretage ændringen efter indgåelse af aftale.
Et eksempel på det skærmbillede, som brugeren vil se:
Bruger adgang ikke opsat i kundens AD system (fejl AADSTS50105)
⚠️Fejl: Hvis brugeren modtager en fejlmeddelelse ved forsøg på login, som er af følgende karakter: "AADSTS50105: The signed in user 'robertk@kundedomæne.dk' is not assigned to a role for the application '4d020abe-0f94-4443-b515-5c40f482ea90'(Acubiz EMS)."
ℹ️Årsag: Problemet er relateret til virksomhedens opsætning af AD-systemet. Meddelelsen stammer IKKE fra Acubiz, men fra virksomhedens eget AD-system.
✅Løsning: Der skal udføres konfiguration i virksomhedens AD ved at tildele brugeren adgang til at anvende Acubiz-applikationen.
⚙️Løses af: Virksomhedens IT afdeling skal foretage ændringen i eget AD
- Relateret information: https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/app-integration/error-code-AADSTS50105-user-not-assigned-role
Eksempel på de skærmbilleder brugeren ser:
Eller:
Fejl 401 Not authorized
⚠️Fejl: SSO authentication går fint, men brugeren får så fejl "401 Not authorized" fra Acubiz.
ℹ️Årsag(er):
- Hvis brugerens e-mailadresse ikke kan findes på en aktiv brugerprofil i Acubiz.
- Hvis den registrerede e-mailadresse i Acubiz ikke er brugerens primære e-mailadresse fra virksomhedens Entra.
- Dublet af e-mailadresse. Hvis der eksempelvis findes en Resigned-bruger med samme e-mailadresse, vil SSO-processen fejle, selvom der foreligger en ny aktiv brugerprofil.
✅Løsning(er):
- Opret en brugerprofil med den pågældende e-mailadresse.
- Sikre, at den registrerede e-mailadresse på brugeren i Acubiz er brugerens primære e-mailadresse fra virksomhedens Entra. Det er vigtigt, at det ikke er en alias-e-mailadresse.
- Ændr e-mailadressen på den inaktive brugerprofil, for eksempel ved at indsætte "_resigned" i e-mailadressen. En e-mailadresse må kun være tilknyttet én brugerprofil i Acubiz, uanset om brugeren er aktiv eller fratrådt.
⚙️Løses af: En Acubiz Pro-user med Administrator rolle skal foretage ændringen i Acubiz.
➡️Kontrol: Få brugeren til at foretag en Test af SSO-forbindelse til Acubiz
Package managers (MDM, Intune eller lign)
⚠️Fejl: Når brugeren indtaster sin e-mail adresse i Acubiz appen sker der intet efterfølgende.
ℹ️Årsag: I forbindelse med anvendelsen af Package Managers, såsom Intune, er det vigtigt at være opmærksom på, at den sandbox, der oprettes til Acubiz på telefonen, også skal inkludere en browser. Uden denne mulighed kan Acubiz ikke åbne virksomhedens login-side til Active Directory (AD).
✅Løsning: Inkluder en browser ved fjerninstallation af Acubiz-appen.
⚙️Løses af: Virksomhedens IT-afdeling skal gennemføre ændringen af Package Manager-platformen
SSO i App: Når mobilen har gemt Microsoft login cookie for en privat email
⚠️Problem: Brugeren vælger SSO Login i App'en, men bliver automatisk sendt videre med privat email, hvilket giver en fejlbesked fra kundens Entra AD system
ℹ️Årsag: En login-cookie til en forkert e-mailadresse er gemt i browseren, hvilket forhindrer korrekt login.
✅Løsning (er):
- Fremgangsmåde til sletning af cookies på mobilen for at give brugeren mulighed for at indtaste sin firmaemail på login.microsoftonline.com-websiden.
-
Guide til iPhone:
Hvis der er flere browsere installeret, kan man først kontrollere under: Indstillinger > Apps > Standardapps for at se, hvilken browser der er angivet som "Browser App". -
For Safari (standardbrowseren):
- Naviger til: Indstillinger > Apps > Safari > Avanceret (placeret nederst) > Websteddata > Fjern alle websteddata (placeret nederst).
- Denne handling sletter alle gemte websteddata, herunder cookies, men det er også muligt at finde login.microsoftonline.com på listen og kun slette data for dette specifikke websted.
-
For Chrome-browseren:
- Åbn appen, gå til indstillingsmenuen, vælg "Slet browserdata" og bekræft herefter.
- Det er muligt kun at vælge "Cookies og websteddata", hvis man ønsker at bevare browserhistorik og lignende.
-
Guide til iPhone:
⚙️Løses af: Brugeren selv
SAML Certifikat skal fornyes
⚠️Fejl: Kundens SAML certifikat er udløbet
ℹ️Relateret information: Opdatering af SAML certifikat.
✅Løsning: Kunden skal forny certifikatet i deres system (på samme FederationMetadataURL), hvorefter Acubiz ADFS automatisk vil registrere det nye inden for 24 timer. Acubiz skal ikke modtage selve certifikatet som en fil. Løbetiden for SAML-certifikater er typisk tre år.
⚙️Løses af: Virksomhedens IT afdeling skal foretage ændringen i eget AD
-
Komplet liste over fejlkoder fra Entra:
https://learn.microsoft.com/en-us/entra/identity-platform/reference-error-codes
Kommentarer
0 kommentarer
Log ind for at kommentere.