最佳实践
- SAML 受权仅仅在有限的时间进行校验。你须要肯定运行你的应用的计算机时间与 IdP 的时间是同步的。
- 若是你应用中的用户和用户组是经过用户目录进行配置的,你一般但愿用户来源目录和你的 IdP 和 Atlassian 应用使用相同的 LDAP 目录。用户须要在用户目录支中存在才能够使用 SSO 进行登陆。
故障排除
- 若是你错误的配置了 SAML 收取,或者不能登陆到你的 IdP。你能够经过删除请求来让你的登陆受权恢复(在你用户目录中为一个管理员用户配置使用一个用户名和密码)。
curl -u admin_user:admin_password -X DELETE http://base-url/product/rest/authconfig/1.0/saml - 若是受权有错误发生,用户将只能看到基本的错误信息。基于安全的考虑,有关错误的具体信息将不会显示,你须要检查应用程序的日志来找到错误发生的具体缘由和问题是什么。
- 在一些状况下,你可能看到你的 IdP 显示错误信息。在这种状况下,你须要一些 IdP 的诊断工具来肯定你的 IdP 的问题,这方面问题的解决 Atlassian 不提供相关的服务。
- 当使用 使用 SAML 为主受权(Use SAML as primary authentication)同时你还有有验证码被启用的话,使用 HTTP 的基本受权(例如在 REST 资源调用)可能将用户锁定,若是用户输入的错误用户名和密码信息次数太多的话。在这种状况下,须要一个系统管理进入后台从新设置用户登陆错误次数的计数。
https://www.cwiki.us/display/CONFLUENCEWIKI/SAML+SSO+for+Confluence+Data+Centerjava