Opsætning af SAML-autentificering i FastComments kræver både konfiguration i din administrationskonsol og opsætning i din identitetsudbyder.

Forudsætninger

Før du konfigurerer SAML, skal du sikre dig, at du har:

• En FastComments Flex- eller Pro-plan (SAML er ikke tilgængelig på Creators-planen)
• Administrativ adgang til din FastComments-konto
• Administrativ adgang til din identitetsudbyder
• Din IdP's SAML-metadata eller certifikatinformation

Adgang til SAML-konfiguration

1. Log ind på dit FastComments administrationsdashboard
2. Gå til API/SSO-indstillinger i venstre sidebjælke
3. Klik på knappen SAML-konfiguration

Hvis du ikke kan se knappen SAML-konfiguration, skal du kontrollere, at:

• Din konto har den nødvendige pakke (Flex eller Pro)
• Du har administrative rettigheder
• Din bruger har rollerne API Admin eller Admin Admin

Grundlæggende SAML-konfiguration

Aktivér SAML-autentificering

1. Markér afkrydsningsfeltet Aktivér SAML-autentificering
2. Dette aktiverer SAML for din tenant og gør konfigurationsfelterne tilgængelige

Obligatoriske felter

IdP Single Sign-On URL (Påkrævet)

• URL'en hvor brugere vil blive omdirigeret for autentificering
• Normalt leveret af din identitetsudbyder
• Eksempel: https://your-company.okta.com/app/fastcomments/sso/saml

IdP X.509-certifikat (Påkrævet)

• Det offentlige certifikat fra din identitetsudbyder
• Bruges til at verificere ægtheden af SAML-svar
• Skal inkludere det fulde certifikat med BEGIN/END-markører
• Eksempelformat: ```
• ----BEGIN CERTIFICATE----- MIICXjCCAcegAwIBAgIBADANBgkqhkiG9w0BAQsFADA...
• ----END CERTIFICATE-----

Valgfrie felter

IdP Entity ID / Udsteder

• Identificerer din identitetsudbyder
• Hvis den efterlades tom, bruges som standard din FastComments-URL
• Skal matche den udsteder, der er konfigureret i din IdP

Avanceret konfiguration

Sikkerhedsindstillinger

Signaturalgoritme

• Standard er SHA-256 (anbefalet)
• Muligheder: SHA-1, SHA-256, SHA-512
• Skal matche din IdP's konfiguration

Digest-algoritme

• Standard er SHA-256 (anbefalet)
• Bruges til beregning af digest i SAML-svar
• Skal matche din IdP's konfiguration

Name ID-format

• Standard er e-mailadresseformat
• Bestemmer, hvordan brugeridentifikatorer formateres
• Almindelige muligheder: Email Address, Persistent, Transient

Kryptering (valgfrit)

Privat nøgle til dekryptering

• Kun nødvendigt, hvis din IdP krypterer SAML-assertioner
• Indsæt din private nøgle, der bruges til dekryptering
• De fleste installationer kræver ikke kryptering af assertioner

Gem konfiguration

1. Gennemgå alle indstillinger for korrekthed
2. Klik på Gem SAML-konfiguration
3. Systemet vil validere din konfiguration
4. Hvis det lykkes, vil du se en bekræftelsesmeddelelse

Næste skridt

Efter at have gemt din FastComments SAML-konfiguration:

1. Konfigurer din identitetsudbyder ved hjælp af Service Provider-oplysningerne
2. Test autentificeringsflowet
3. Opsæt brugerroller og tilladelser efter behov

Service Provider-oplysningerne, der er nødvendige til din IdP-konfiguration, vises, når SAML er aktiveret.

Efter at have konfigureret SAML i FastComments, skal du konfigurere FastComments som en tjenesteudbyder i din identitetsudbyder.

Generel IdP-konfiguration

De fleste identitetsudbydere kræver følgende oplysninger for at tilføje FastComments som en SAML-applikation:

Påkrævet tjenesteudbyderinformation

Disse værdier genereres automatisk og vises på din FastComments SAML-konfigurationsside:

SP Entity ID / Audience

• Format: https://fastcomments.com/saml/{your-tenant-id}
• Dette identificerer entydigt din FastComments-forekomst

Assertion Consumer Service (ACS) URL

• Format: https://fastcomments.com/saml/callback/{your-tenant-id}
• Hvor din IdP sender SAML-svar efter autentificering

SP Metadata URL (hvis understøttet af din IdP)

• Format: https://fastcomments.com/saml/metadata/{your-tenant-id}
• Leverer komplet SAML-konfiguration i XML-format

SAML Login URL

• Format: https://fastcomments.com/saml/login/{your-tenant-id}
• Direkte link til at igangsætte SAML-autentificering

Påkrævede SAML-attributter

Konfigurer din identitetsudbyder til at sende disse attributter med SAML-svar:

Væsentlige attributter

Email Address (Påkrævet)

• Attribute Name: email, emailAddress, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
• Formål: Entydig brugeridentifikation og meddelelser
• Format: Gyldig e-mailadresse

Valgfrie attributter

First Name

• Attribute Names: firstName, givenName, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
• Formål: Brugernavn der vises

Last Name

• Attribute Names: lastName, surname, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
• Formål: Brugernavn der vises

Roles (Vigtigt for adgangskontrol)

• Attribute Names: roles, groups, memberOf, or custom attribute names
• Formål: Tildeling af FastComments-roller og tilladelser
• Format: Array af rolletekster eller kommaseparerede værdier

Almindelige identitetsudbyderkonfigurationer

Microsoft Azure AD

1. Tilføj Enterprise Application

   • Søg efter "FastComments" eller opret en brugerdefineret SAML-applikation
   • Brug SP-oplysningerne leveret af FastComments

2. Konfigurer attributter

   • Email: user.mail or user.userprincipalname
   • First Name: user.givenname
   • Last Name: user.surname
   • Roles: user.assignedroles or directory groups

Okta

1. Opret SAML-applikation

   • Brug "Create New App" og vælg SAML 2.0
   • Konfigurer med FastComments SP-oplysninger

2. Attribute Statements

   • Email: user.email
   • FirstName: user.firstName
   • LastName: user.lastName
   • Roles: user.groups or custom attributes

Google Workspace

1. Tilføj SAML-applikation

   • Gå til Apps > Web and mobile apps > Add App > Add custom SAML app
   • Konfigurer med FastComments SP-oplysninger

2. Attributkortlægning

   • Email: Primary email
   • First Name: First name
   • Last Name: Last name
   • Roles: Groups or custom attributes

Active Directory Federation Services (ADFS)

1. Tilføj Relying Party Trust

   • Brug FastComments-metadata-URL'en eller manuel konfiguration
   • Konfigurer SP-oplysninger som angivet

2. Claim Rules

   • Email: Email Address claim
   • Name: Name ID claim
   • Roles: Gruppemedlemskab eller brugerdefinerede claims

Fleksibilitet i attributnavne

FastComments accepterer rolleinformation fra flere attributnavne for at imødekomme forskellige IdP-konfigurationer:

• roles
• groups
• memberOf
• role
• group
• http://schemas.microsoft.com/ws/2008/06/identity/claims/role
• http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role

Denne fleksibilitet sikrer kompatibilitet med forskellige identitetsudbydere uden at kræve specifikke navngivningskonventioner for attributter.

Test af din konfiguration

Efter at have konfigureret din identitetsudbyder:

1. Gem IdP-konfigurationen
2. Test med en dedikeret testbruger
3. Bekræft, at attributter sendes korrekt
4. Kontroller, at roller er korrekt kortlagt
5. Sørg for, at autentificeringsflowet fuldføres succesfuldt

De fleste identitetsudbydere tilbyder SAML-testværktøjer til at validere konfigurationen, før du ruller ud til produktionsbrugere.

Når SAML er aktiveret i FastComments, genererer systemet automatisk Service Provider (SP)-oplysninger, som du skal konfigurere i din identitetsudbyder.

Adgang til Service Provider-oplysninger

SP-oplysningerne vises på din SAML-konfigurationsside efter aktivering af SAML-godkendelse. Disse oplysninger indeholder alle detaljer, som din identitetsudbyder har brug for for at etablere SAML-tillidsforholdet.

Service Provider-endepunkter

SP Entity ID / Audience

Formål: Identificerer entydigt din FastComments-instans som en service provider
Format: https://fastcomments.com/saml/{your-tenant-id}
Brug: Konfigurer dette som Entity ID eller Audience i din IdP

Denne identifikator sikrer, at SAML-responser er tiltænkt din specifikke FastComments-tenant og forhindrer, at SAML-responser accepteres af andre instanser.

Assertion Consumer Service (ACS) URL

Formål: Endepunktet hvor din IdP sender SAML-responser efter brugerautentificering
Format: https://fastcomments.com/saml/callback/{your-tenant-id}
Brug: Konfigurer dette som ACS URL eller Reply URL i din IdP

Dette er stedet, som brugere omdirigeres til efter succesfuld autentificering med din identitetsudbyder, sammen med SAML-assertionen, der indeholder brugeroplysninger.

SP Metadata URL

Formål: Leverer komplet SAML-konfiguration i standard XML-format
Format: https://fastcomments.com/saml/metadata/{your-tenant-id}
Brug: Nogle IdP'er kan automatisk importere konfiguration ved hjælp af denne URL

Metadata-URL'en indeholder alle nødvendige SP-oplysninger i XML-format, hvilket gør det nemt at konfigurere kompatible identitetsudbydere automatisk.

SAML Login URL

Formål: Direkte link til at starte SAML-godkendelse for din tenant
Format: https://fastcomments.com/saml/login/{your-tenant-id}
Brug: Link brugere direkte til SAML-godkendelse eller test flowet

Du kan bruge denne URL til at teste SAML-godkendelse eller give brugerne et direkte link til at logge ind via SAML.

Understøttelse af SAML-bindinger

FastComments understøtter følgende SAML-bindinger:

HTTP-POST Binding

• Primær metode: Den mest almindelige binding for SAML-responser
• Sikkerhed: SAML-responsen sendes via HTTP POST til ACS URL
• Brug: Anbefales til produktionsudrulninger

HTTP-Redirect Binding

• Alternativ metode: SAML-respons sendt via HTTP-redirect
• Begrænsninger: Begrænset payload-størrelse på grund af URL-længdebegrænsninger
• Brug: Understøttet, men HTTP-POST foretrækkes

Name ID-politik

FastComments konfigurerer følgende Name ID-politik i SAML-anmodninger:

• Standardformat: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Alternative formater: Persistent, Transient, Unspecified (kan konfigureres)
• Krav: E-mailadressen bruges som den primære brugeridentifikator

SAML-anmodningsattributter

Når SAML-godkendelse initieres, sender FastComments anmodninger med disse karakteristika:

Signering af anmodninger

• Status: Valgfri (kan konfigureres)
• Algoritme: Matcher den konfigurerede signaturalgoritme
• Certifikat: Bruger tenant-specifikt certifikat, hvis anmodningssignering er aktiveret

Anmodede attributter

FastComments anmoder om følgende attributter i SAML AuthnRequests:

• E-mail: Påkrævet for brugeridentifikation
• Fornavn: Valgfri til visningsformål
• Efternavn: Valgfri til visningsformål
• Roller/Grupper: Valgfri til adgangskontrol og tilladelser

Kopiering af SP-oplysninger

SAML-konfigurationssiden tilbyder klikbare felter, der automatisk kopierer SP-oplysninger til dit udklipsholder:

1. Klik på et hvilket som helst SP-oplysningsfelt (Entity ID, ACS URL osv.)
2. Værdien kopieres automatisk til dit udklipsholder
3. Indsæt værdien i din identitetsudbyders konfiguration
4. En kort markering indikerer, at kopieringen lykkedes

Dette gør det nemt at overføre SP-oplysningerne nøjagtigt til din IdP uden tastefejl.

SP-certifikatoplysninger

Certifikatets anvendelse

• Formål: Krypterer kommunikation og bekræfter SP-identitet
• Rotering: Certifikater administreres automatisk af FastComments
• Adgang: Offentlige certifikater er tilgængelige via metadata-URL'en

Certifikatdetaljer

• Algoritme: RSA-2048 eller højere
• Gyldighed: Certifikater fornyes automatisk før udløb
• Distribution: Tilgængelig gennem standard SAML-metadata

Fejlfinding af SP-konfiguration

Hvis din identitetsudbyder rapporterer problemer med SP-oplysninger:

1. Verificer URL'er: Sørg for, at alle URL'er bruger HTTPS og indeholder den korrekte tenant-ID
2. Tjek metadata: Brug metadata-URL'en til at verificere konfigurationen
3. Test forbindelse: Sørg for, at din IdP kan nå FastComments-endepunkterne
4. Valider format: Bekræft, at din IdP understøtter SP-oplysningsformatet

Almindelige problemer inkluderer:

• Forkert tenant-ID i URL'er
• Netværksforbindelsesproblemer mellem IdP og FastComments
• IdP forventer andre URL-formater eller yderligere konfigurationsmuligheder

Test af din SAML-konfiguration sikrer, at godkendelse fungerer korrekt, før den rulles ud til produktionsbrugere.

Tjekliste før test

Før du tester SAML-godkendelse, bekræft:

• ✅ SAML er aktiveret i FastComments
• ✅ Alle nødvendige felter er udfyldt (IdP URL, certifikat)
• ✅ Identitetsudbyderen er konfigureret med FastComments SP-oplysninger
• ✅ Testbruger findes i din IdP
• ✅ Testbrugeren har de rette roller tildelt

Testmetoder

Metode 1: Direkte SAML-login-URL

1. Hent SAML-login-URL:

   • Kopier fra din SAML-konfigurationsside
   • Format: https://fastcomments.com/saml/login/{your-tenant-id}

2. Test godkendelse:

   • Åbn SAML-login-URL'en i et inkognito-/privat browservindue
   • Du bør blive omdirigeret til din identitetsudbyder
   • Log ind med testoplysninger
   • Bekræft, at du omdirigeres tilbage til FastComments

Metode 2: Adgang til admin-dashboardet

1. Gå til FastComments:

   • Gå til FastComments admin-dashboard
   • Se efter SAML-loginmulighed eller brug SAML-login-URL'en

2. Gennemfør godkendelsesflowet:

   • Godkend via din identitetsudbyder
   • Bekræft adgang til de relevante adminfunktioner baseret på tildelte roller

Metode 3: Test af widget-integration

Til test af SAML med kommentarwidgets:

1. Indlejr widget: Brug FastComments-widget'en på en testside
2. Godkendelse: Klik på login og vælg SAML-muligheden (hvis tilgængelig)
3. Verifikation: Bekræft, at brugeren vises som godkendt i widget'en

Hvad der skal verificeres under test

Godkendelsesflow

Succesfuld omdirigering:

• Brugeren omdirigeres til IdP's login-side
• IdP's login-side indlæses korrekt
• Ingen certifikat- eller SSL-fejl opstår

IdP-godkendelse:

• Brugeren kan logge ind med deres IdP-legitimationsoplysninger
• Multi-faktor-godkendelse fungerer (hvis konfigureret)
• Ingen godkendelsesfejl fra IdP

Returnering til FastComments:

• Brugeren omdirigeres tilbage til FastComments efter succesfuld IdP-login
• Ingen valideringsfejl af SAML-assertion
• Brugeren får adgang til de relevante FastComments-funktioner

Brugeroplysninger

Grundlæggende profildata:

• E-mailadresse indfanges korrekt
• Fornavn og efternavn vises, hvis de er angivet
• Brugerprofil oprettes eller opdateres

Rollertilskrivning:

• Administrative roller er korrekt tildelt
• Brugeren har adgang til forventede adminfunktioner
• Tilladelser matcher de tildelte roller

Validering af SAML-respons

Certifikatverifikation:

• SAML-responsens signatur valideres med succes
• Ingen certifikatvalideringsfejl i logfiler
• Respons accepteres som ægte

Atributbehandling:

• Påkrævede attributter (email) er til stede
• Valgfrie attributter behandles korrekt
• Rolleattributter fortolkes og anvendes korrekt

Test af forskellige scenarier

Standard brugerflow

1. Ny bruger:

   • Første SAML-login
   • Oprettelse af konto
   • Tildeling af basisrettigheder

2. Eksisterende bruger:

   • Tilbagevendende brugerlogin
   • Profilopdateringer
   • Rolleændringer

Test af administrativ adgang

1. Adminroller:

   • Testbrugere med fc-admin-admin-rollen
   • Bekræft adgang til admin-dashboardet
   • Bekræft administrative beføjelser

2. Specialiserede roller:

   • Test adgang for fc-moderator til moderationsfunktioner
   • Test adgang for fc-analytics-admin til analysefunktioner
   • Test adgang for fc-billing-admin til faktureringsfunktioner

Fejlscenarier

1. Ugyldige certifikater:

   • Test med udløbne eller forkerte certifikater
   • Bekræft korrekt fejlhåndtering

2. Manglende attributter:

   • Test SAML-responser uden den påkrævede emailattribut
   • Bekræft elegant fejlhåndtering

3. Netværksproblemer:

   • Test med forbindelsesproblemer
   • Bekræft timeout-håndtering

Fejlfinding af testproblemer

Almindelige godkendelsesproblemer

Omdirigeringsloop:

• Kontrollér, at SP Entity ID matcher IdP-konfigurationen
• Bekræft, at ACS URL er korrekt konfigureret
• Bekræft, at SAML-bindingindstillingerne stemmer overens

Certifikatfejl:

• Sørg for, at certifikatet indeholder BEGIN/END-markører
• Bekræft, at certifikatet ikke er udløbet
• Tjek for ekstra mellemrum eller formateringsproblemer

Attributproblemer:

• Bekræft, at emailattributten sendes
• Bekræft, at rolleattributter bruger korrekt navngivning
• Tjek attributformat (array vs. komma-adskilt)

Fejlsøgningsværktøjer

Browserudviklerværktøjer:

• Overvåg netværksanmodninger under SAML-flowet
• Tjek for HTTP-fejl eller omdirigeringer
• Undersøg SAML POST-data (hvis synligt)

IdP-testværktøjer:

• De fleste IdP'er tilbyder SAML-testgrænseflader
• Brug IdP-værktøjer til at validere SAML-responsformatet
• Test attributkonfigurationen, før du sender til FastComments

FastComments-support:

• Aktivér debug-logning under test
• Gem fejlmeddelelser og tidsstempler
• Kontakt support med specifikke fejldetaljer

Bedste praksis for test

Opsætning af testmiljø

1. Dedikerede testbrugere:

   • Opret specifikke testkonti i din IdP
   • Tildel forskellige rollekombinationer
   • Brug letgenkendelige test-e-mailadresser

2. Isoleret test:

   • Brug inkognito-/private browservinduer
   • Ryd cookies mellem tests
   • Test med forskellige brugerkonti

3. Dokumentation:

   • Registrér testscenarier og resultater
   • Dokumentér eventuelle nødvendige konfigurationsændringer
   • Notér detaljer om succesfuld konfiguration

Validering før produktion

1. Omfattende test:

   • Test alle rollekombinationer
   • Bekræft kanttilfælde og fejlsituationer
   • Bekræft, at ydeevnen er acceptabel

2. Brugeraccept:

   • Få slutbrugere til at teste godkendelsesflowet
   • Indsaml feedback om brugeroplevelsen
   • Bekræft, at workflowet opfylder kravene

3. Sikkerhedsreview:

   • Bekræft, at certifikatvalidering fungerer
   • Bekræft, at rollefordelinger er sikre
   • Test håndhævelse af adgangskontrol

Udrulning i produktion

Efter succesfuld test:

1. Gradvis udrulning: Overvej først at udrulle SAML til en delmængde af brugerne
2. Overvågning: Overvåg succesrater for godkendelse og fejl i logfiler
3. Supportforberedelse: Forbered supportteamet på SAML-relaterede spørgsmål
4. Dokumentation: Udarbejd brugerdokumentation for SAML-loginprocessen

Denne vejledning dækker almindelige SAML-autentificeringsproblemer og deres løsninger.

Certificate and Security Issues

Invalid Certificate Error

Symptoms:

• "Certificate validation failed" fejl
• Brugere kan ikke gennemføre SAML-autentificering
• SAML-respons bliver afvist

Common Causes:

• Certifikatformatet er forkert
• Certifikatet er udløbet
• Forkert certifikat blev leveret
• Ekstra tegn eller mellemrum i certifikatet

Solutions:

1. Verify Certificate Format:

   • Sørg for at certifikatet indeholder -----BEGIN CERTIFICATE----- og -----END CERTIFICATE----- markører
   • Fjern eventuelle ekstra mellemrum eller linjeskift
   • Kopiér certifikatet direkte fra IdP-metadata eller konfiguration

2. Check Certificate Validity:

   • Bekræft at certifikatet ikke er udløbet
   • Bekræft at certifikatet er for den korrekte IdP
   • Brug online certifikatvalideringsværktøjer til at kontrollere formatet

3. Re-download Certificate:

   • Download et frisk certifikat fra IdP
   • Brug IdP-metadata-URL, hvis tilgængelig
   • Bekræft at certifikatet matcher den aktuelle IdP-konfiguration

Signature Verification Failed

Symptoms:

• SAML-assertions signaturvalideringsfejl
• Autentificering fejler efter IdP-login
• "Invalid signature" fejlmeddelelser

Solutions:

1. Algorithm Mismatch:

   • Tjek at signaturalgoritmen i FastComments matcher IdP
   • Prøv forskellige signaturalgoritmer (SHA-256, SHA-1, SHA-512)
   • Bekræft at digest-algoritmen matcher IdP-konfigurationen

2. Certificate Issues:

   • Sørg for at det korrekte signeringscertifikat er konfigureret
   • Bekræft at certifikatet svarer til den private nøgle, der bruges af IdP
   • Tjek for certifikatrotation i IdP

Configuration Issues

Wrong Entity ID or ACS URL

Symptoms:

• IdP rapporterer "Unknown Service Provider"
• SAML-respons sendes til forkert endpoint
• Autentificering fuldføres ikke

Solutions:

1. Verify SP Information:

   • Kopiér den nøjagtige Entity ID fra FastComments-konfigurationen
   • Sørg for at ACS URL matcher formatet: https://fastcomments.com/saml/callback/{tenant-id}
   • Tjek for tastefejl i tenant ID

2. IdP Configuration:

   • Opdater IdP med korrekt SP Entity ID
   • Konfigurer korrekt ACS/Reply URL
   • Bekræft IdP binding-indstillinger (HTTP-POST foretrækkes)

Missing or Incorrect Attributes

Symptoms:

• Brugere oprettes uden korrekte roller
• Manglende brugerprofiloplysninger
• "Email required" fejl

Solutions:

1. Email Attribute:

   • Sørg for at IdP sender email-attribut
   • Tjek navnemapping for attributten (email, emailAddress, osv.)
   • Bekræft at email-værdien er en gyldig e-mailadresse

2. Role Attributes:

   • Bekræft at IdP sender rolle-/gruppeoplysninger
   • Tjek at rolleafternavne matcher FastComments forventninger
   • Bekræft at rolleværdierne matcher FastComments rolleanavne præcist

3. Attribute Format:

   • Test både array- og komma-separerede rolleformater
   • Sørg for at attributværdier ikke har ekstra mellemrum
   • Tjek for store/små-bogstavsfølsomhed i rollenavne

Authentication Flow Issues

Redirect Loop

Symptoms:

• Browser omdirigerer uendeligt mellem FastComments og IdP
• Autentificering gennemføres aldrig
• Flere redirects vist i browserens udviklerværktøjer

Solutions:

1. Check SP Configuration:

   • Bekræft at Entity ID matcher IdP-konfigurationen præcist
   • Sørg for at ACS URL er korrekt konfigureret i IdP
   • Tjek for afsluttende skråstreger i URL'er

2. Session Issues:

   • Ryd browsercookies og prøv igen
   • Test i inkognito/private browservindue
   • Tjek session timeout-indstillinger

Access Denied After Authentication

Symptoms:

• SAML-autentificering lykkes
• Bruger omdirigeres til FastComments
• "Access denied" eller fejl i tilladelser vises

Solutions:

1. Role Assignment:

   • Bekræft at brugeren har passende roller i IdP
   • Tjek at rolleattributten sendes i SAML-responsen
   • Bekræft at rollenavne matcher FastComments krav præcist

2. Package Limitations:

   • Bekræft at kontoen har Flex- eller Pro-plan
   • Tjek at SAML-funktionen er aktiveret for pakken
   • Kontakt support, hvis pakken inkluderer SAML, men funktionen ikke er tilgængelig

Identity Provider Specific Issues

Microsoft Azure AD

Common Issues:

• App-rolle-tildelinger afspejles ikke i tokens
• Claims sendes ikke korrekt
• Krav om bruger-tilknytning

Solutions:

• Tjek bruger-tilknytning til FastComments-applikationen
• Bekræft at applikationsroller er korrekt konfigureret
• Sørg for at claim-mapping inkluderer de krævede attributter

Okta

Common Issues:

• Gruppefiltre virker ikke korrekt
• Attributudtalelser er fejlkodet
• Problemer med applikationstildeling

Solutions:

• Gennemgå konfigurationen af attributudtalelser
• Tjek gruppe-tildeling og filtreringsregler
• Bekræft at applikationen er tildelt de relevante brugere/grupper

Google Workspace

Common Issues:

• Tilpassede attributter kortlægges ikke korrekt
• Gruppetilhørsforhold sendes ikke
• Fejl i SAML-applikationskonfiguration

Solutions:

• Konfigurer tilpasset skema for rolleattributter
• Tjek udbredelse af gruppemedlemskab
• Bekræft SAML-applikationens attributmapping

Network and Connectivity Issues

Timeout Errors

Symptoms:

• Autentificeringsprocessen overskrider tiden
• "Request timeout" eller lignende fejl
• Langsom autentificeringsflow

Solutions:

1. Network Connectivity:

   • Tjek firewallregler for at sikre at FastComments-kommunikation er tilladt
   • Bekræft DNS-opløsning for fastcomments.com
   • Test netværksforbindelsen fra IdP til FastComments

2. Performance Issues:

   • Tjek IdP-responstider
   • Bekræft at validering af certifikatkæden ikke er langsom
   • Overvej netværkslatens mellem IdP og brugere

SSL/TLS Issues

Symptoms:

• Certifikatadvarsler under autentificering
• SSL-handshake-fejl
• "Secure connection failed" fejl

Solutions:

• Sørg for at alle SAML-endpoints bruger HTTPS
• Tjek certifikatets gyldighed for alle involverede domæner
• Bekræft kompatibilitet med TLS-versioner

Debugging and Logging

Enabling Debug Information

1. Browser Developer Tools:

   • Overvåg Network-fanen under SAML-flowet
   • Tjek Console for JavaScript-fejl
   • Undersøg SAML POST-forespørgsler (hvis synlige)

2. IdP Logging:

   • Aktivér SAML-fejlsøgning i din IdP
   • Gennemgå IdP-logs for SAML-forespørgsels/-responsdetaljer
   • Tjek for problemer med attributmapping

Common Log Messages

FastComments Logs:

• "SAML config not found" - SAML ikke aktiveret eller forkert konfigureret
• "Invalid certificate" - Certifikatvalidering mislykkedes
• "Missing email attribute" - Krævet email ikke leveret i SAML-respons

IdP Logs:

• "Unknown service provider" - Entity ID stemmer ikke overens
• "Invalid ACS URL" - Assertion Consumer Service URL er forkert
• "User not assigned" - Brugeren mangler adgang til SAML-applikationen

Getting Help

Information to Gather

Når du kontakter support, oplys:

• Præcise fejlmeddelelser og tidsstempler
• SAML-konfigurationsdetaljer (uden følsomme data)
• IdP-type og version
• Trin for at reproducere problemet
• Browser- og netværksinformation

FastComments Support

For SAML-relaterede problemer:

1. Brug supportportalen
2. Inkludér tenant ID og berørte brugeres e-mails
3. Angiv fejlmeddelelser og konfigurationsdetaljer
4. Angiv IdP-type og konfigurationsmetode

IdP Support

For IdP-specifikke problemer:

• Konsulter IdP-dokumentation for SAML-fejlsøgning
• Brug IdP-supportkanaler til konfigurationsproblemer
• Benyt IdP-community-fora for almindelige problemer

Prevention Tips

Best Practices

1. Test Thoroughly:

   • Test konfigurationsændringer i et ikke-produktionsmiljø
   • Bekræft med flere testbrugere
   • Dokumentér fungerende konfigurationer

2. Monitor Regularly:

   • Opsæt overvågning for SAML-autentificeringsfejl
   • Gennemgå certifikatudløbsdatoer
   • Overvåg for ændringer i IdP-konfigurationen

3. Documentation:

   • Vedligehold dokumentation af SAML-konfigurationen
   • Dokumentér eventuelle tilpassede konfigurationer eller workarounds
   • Opdater kontaktoplysninger for IdP-administratorer

Proactive Maintenance

1. Certificate Management:

   • Overvåg certifikatudløbsdatoer
   • Planlæg procedurer for certifikatrotation
   • Test certifikatopdateringer før udløb

2. Configuration Reviews:

   • Gennemgå SAML-konfiguration regelmæssigt
   • Bekræft at IdP-konfigurationen forbliver ajour
   • Opdater dokumentation når ændringer foretages