Настройка аутентификации SAML в FastComments требует как конфигурации в вашей панели администратора, так и настройки у вашего провайдера удостоверений.

Требования

Прежде чем настраивать SAML, убедитесь, что у вас есть:

• План FastComments Flex или Pro (SAML недоступен на плане Creators)
• Административный доступ к вашей учётной записи FastComments
• Административный доступ к вашему провайдеру удостоверений
• SAML-метаданные или информация о сертификате вашего IdP

Доступ к конфигурации SAML

1. Войдите в панель администратора FastComments
2. Перейдите в API/SSO Settings в левой боковой панели
3. Нажмите кнопку SAML Config

Если вы не видите кнопку SAML Config, проверьте, что:

• Ваша учетная запись имеет требуемый пакет (Flex или Pro)
• У вас есть административные права
• Ваш пользователь имеет роли API Admin или Admin Admin

Основная конфигурация SAML

Enable SAML Authentication

1. Установите флажок Enable SAML Authentication
2. Это активирует SAML для вашего тенанта и сделает доступными поля конфигурации

Обязательные поля

IdP Single Sign-On URL (Обязательно)

• URL, на который пользователи будут перенаправляться для аутентификации
• Обычно предоставляется вашим провайдером удостоверений
• Пример: https://your-company.okta.com/app/fastcomments/sso/saml

IdP X.509 Certificate (Обязательно)

• Публичный сертификат от вашего провайдера удостоверений
• Используется для проверки подлинности SAML-ответов
• Должен включать полный сертификат с маркерами BEGIN/END
• Пример формата: ```
• ----BEGIN CERTIFICATE----- MIICXjCCAcegAwIBAgIBADANBgkqhkiG9w0BAQsFADA...
• ----END CERTIFICATE-----

Необязательные поля

IdP Entity ID / Issuer

• Идентифицирует вашего провайдера удостоверений
• Если оставить пустым, по умолчанию используется FastComments URL
• Должно совпадать с issuer, настроенным в вашем IdP

Расширенная конфигурация

Настройки безопасности

Signature Algorithm

• По умолчанию SHA-256 (рекомендуется)
• Варианты: SHA-1, SHA-256, SHA-512
• Должно соответствовать конфигурации вашего IdP

Digest Algorithm

• По умолчанию SHA-256 (рекомендуется)
• Используется для вычисления дайджеста в SAML-ответах
• Должно соответствовать конфигурации вашего IdP

Name ID Format

• По умолчанию формат Email Address
• Определяет, как формируются идентификаторы пользователей
• Частые варианты: Email Address, Persistent, Transient

Шифрование (необязательно)

Private Key for Decryption

• Требуется только если ваш IdP шифрует SAML-утверждения
• Вставьте приватный ключ, используемый для расшифровки
• В большинстве развертываний шифрование утверждений не требуется

Сохранение конфигурации

1. Проверьте все настройки на предмет корректности
2. Нажмите Save SAML Configuration
3. Система проверит вашу конфигурацию
4. В случае успеха вы увидите сообщение подтверждения

Дальнейшие шаги

После сохранения конфигурации SAML в FastComments:

1. Настройте ваш провайдер удостоверений, используя информацию Service Provider
2. Протестируйте поток аутентификации
3. Настройте роли и разрешения пользователей по необходимости

Информация о Service Provider, необходимая для настройки вашего IdP, будет отображена после включения SAML.

После настройки SAML в FastComments, вам нужно добавить FastComments в качестве Service Provider у вашого провайдера ідентифікації.

Загальна конфігурація IdP

Більшість провайдерів ідентифікації вимагають наступну інформацію для додавання FastComments як SAML-додатка:

Обов'язкова інформація про Service Provider

Ці значення автоматично генеруються і відображаються на сторінці конфігурації SAML у FastComments:

SP Entity ID / Audience

• Формат: https://fastcomments.com/saml/{your-tenant-id}
• Це унікально ідентифікує ваш інстанс FastComments

Assertion Consumer Service (ACS) URL

• Формат: https://fastcomments.com/saml/callback/{your-tenant-id}
• Куди ваш IdP надсилає SAML-відповіді після автентифікації

SP Metadata URL (якщо підтримується вашим IdP)

• Формат: https://fastcomments.com/saml/metadata/{your-tenant-id}
• Надає повну конфігурацію SAML у форматі XML

SAML Login URL

• Формат: https://fastcomments.com/saml/login/{your-tenant-id}
• Пряме посилання для ініціації SAML-автентифікації

Обов'язкові атрибути SAML

Налаштуйте ваш провайдер ідентифікації, щоб надсилати ці атрибути з SAML-відповідями:

Необхідні атрибути

Email Address (обов'язково)

• Attribute Name: email, emailAddress, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
• Призначення: Унікальна ідентифікація користувача та повідомлення
• Формат: Дійсна електронна адреса

Додаткові атрибути

First Name

• Attribute Names: firstName, givenName, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
• Призначення: Відображуване ім'я користувача

Last Name

• Attribute Names: lastName, surname, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
• Призначення: Відображуване прізвище користувача

Roles (важливо для контролю доступу)

• Attribute Names: roles, groups, memberOf, or custom attribute names
• Призначення: Призначення ролей і дозволів у FastComments
• Формат: Масив рядків ролей або значення, розділені комами

Поширені конфігурації провайдерів ідентифікації

Microsoft Azure AD

1. Add Enterprise Application

   • Знайдіть "FastComments" або створіть власний SAML-додаток
   • Використайте інформацію SP, надану FastComments

2. Configure Attributes

   • Email: user.mail or user.userprincipalname
   • First Name: user.givenname
   • Last Name: user.surname
   • Roles: user.assignedroles or directory groups

Okta

1. Create SAML Application

   • Використовуйте "Create New App" і виберіть SAML 2.0
   • Налаштуйте за інформацією SP від FastComments

2. Attribute Statements

   • Email: user.email
   • FirstName: user.firstName
   • LastName: user.lastName
   • Roles: user.groups or custom attributes

Google Workspace

1. Add SAML Application

   • Перейдіть до Apps > Web and mobile apps > Add App > Add custom SAML app
   • Налаштуйте за інформацією SP від FastComments

2. Attribute Mapping

   • Email: Primary email
   • First Name: First name
   • Last Name: Last name
   • Roles: Groups or custom attributes

Active Directory Federation Services (ADFS)

1. Add Relying Party Trust

   • Використайте URL метаданих FastComments або ручну конфігурацію
   • Налаштуйте інформацію SP як вказано

2. Claim Rules

   • Email: Email Address claim
   • Name: Name ID claim
   • Roles: Group membership або кастомні claims

Гнучкість імен атрибутів

FastComments приймає інформацію про ролі з кількох імен атрибутів, щоб врахувати різні конфігурації IdP:

• roles
• groups
• memberOf
• role
• group
• http://schemas.microsoft.com/ws/2008/06/identity/claims/role
• http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role

Ця гнучкість забезпечує сумісність з різними провайдерами ідентифікації без вимоги конкретних конвенцій іменування атрибутів.

Тестування вашої конфігурації

Після налаштування провайдера ідентифікації:

1. Збережіть конфігурацію IdP
2. Протестуйте з виділеним тестовим обліковим записом користувача
3. Перевірте, що атрибути надсилаються правильно
4. Переконайтесь, що ролі правильно відображаються
5. Переконайтесь, що потік автентифікації успішно завершується

Більшість провайдерів ідентифікації пропонують інструменти тестування SAML для перевірки конфігурації перед розгортанням для користувачів у продакшн.

Когда SAML включен в FastComments, система автоматически генерирует информацию о Service Provider (SP), которую вам нужно настроить в вашем identity provider.

Доступ к информации Service Provider

Информация SP отображается на странице конфигурации SAML после включения аутентификации SAML. Эта информация включает все детали, необходимые вашему identity provider для установления доверительных отношений SAML.

Конечные точки Service Provider

SP Entity ID / Audience

Назначение: Уникально идентифицирует ваш экземпляр FastComments как поставщика услуг
Формат: https://fastcomments.com/saml/{your-tenant-id}
Использование: Настройте это как Entity ID или Audience в вашем IdP

Этот идентификатор гарантирует, что SAML-ответы предназначены для конкретного тенанта FastComments и предотвращает принятие ответов SAML другими инстансами.

Assertion Consumer Service (ACS) URL

Назначение: Конечная точка, куда ваш IdP отправляет SAML-ответы после аутентификации пользователя
Формат: https://fastcomments.com/saml/callback/{your-tenant-id}
Использование: Настройте это как ACS URL или Reply URL в вашем IdP

Это место, куда пользователи перенаправляются после успешной аутентификации у вашего identity provider, вместе с SAML-утверждением, содержащим информацию о пользователе.

SP Metadata URL

Назначение: Предоставляет полную конфигурацию SAML в стандартном XML-формате
Формат: https://fastcomments.com/saml/metadata/{your-tenant-id}
Использование: Некоторые IdP могут автоматически импортировать конфигурацию, используя этот URL

URL метаданных содержит всю необходимую информацию о SP в формате XML, что облегчает автоматическую настройку совместимых identity provider.

SAML Login URL

Назначение: Прямая ссылка для инициации SAML-аутентификации для вашего тенанта
Формат: https://fastcomments.com/saml/login/{your-tenant-id}
Использование: Ссылайте пользователей напрямую на SAML-аутентификацию или тестируйте поток

Вы можете использовать этот URL для тестирования SAML-аутентификации или предоставлять пользователям прямую ссылку для входа через SAML.

Поддержка SAML Binding

FastComments поддерживает следующие SAML bindings:

HTTP-POST Binding

• Основной метод: Наиболее распространённый binding для SAML-ответов
• Безопасность: SAML-ответ отправляется через HTTP POST на ACS URL
• Использование: Рекомендуется для продакшен-развёртываний

HTTP-Redirect Binding

• Альтернативный метод: SAML-ответ отправляется через HTTP redirect
• Ограничения: Ограниченный размер полезной нагрузки из-за ограничений длины URL
• Использование: Поддерживается, но предпочтителен HTTP-POST

Политика Name ID

FastComments настраивает следующую политику Name ID в SAML-запросах:

• Формат по умолчанию: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Альтернативные форматы: Persistent, Transient, Unspecified (настраиваемые)
• Требование: Адрес электронной почты используется как основной идентификатор пользователя

Атрибуты SAML-запроса

При инициации SAML-аутентификации FastComments отправляет запросы с этими характеристиками:

Подпись запроса

• Статус: Опционально (настраиваемо)
• Алгоритм: Соответствует настроенному алгоритму подписи
• Сертификат: Используется сертификат, специфичный для тенанта, если подпись запроса включена

Запрашиваемые атрибуты

FastComments запрашивает следующие атрибуты в SAML AuthnRequests:

• Email: Обязательно для идентификации пользователя
• First Name: Необязательно, для отображения
• Last Name: Необязательно, для отображения
• Roles/Groups: Необязательно, для контроля доступа и прав

Копирование информации SP

Страница конфигурации SAML предоставляет кликабельные поля, которые автоматически копируют информацию SP в буфер обмена:

1. Нажмите на любое поле информации SP (Entity ID, ACS URL и т.д.)
2. Значение автоматически копируется в ваш буфер обмена
3. Вставьте значение в конфигурацию вашего identity provider
4. Краткое выделение указывает на успешное копирование

Это упрощает точную передачу информации SP в ваш IdP без ошибок ввода.

Информация о сертификате SP

Использование сертификата

• Назначение: Шифрует коммуникации и подтверждает личность SP
• Ротация: Сертификаты автоматически управляются FastComments
• Доступ: Публичные сертификаты доступны через URL метаданных

Детали сертификата

• Алгоритм: RSA-2048 или выше
• Срок действия: Сертификаты автоматически обновляются до истечения срока действия
• Распространение: Доступно через стандартные SAML-метаданные

Устранение неполадок конфигурации SP

Если ваш identity provider сообщает о проблемах с информацией SP:

1. Проверьте URL: Убедитесь, что все URL используют HTTPS и содержат правильный tenant ID
2. Проверьте метаданные: Используйте URL метаданных для проверки конфигурации
3. Проверьте подключение: Убедитесь, что ваш IdP может достичь конечных точек FastComments
4. Проверьте формат: Подтвердите, что ваш IdP поддерживает формат информации SP

Распространённые проблемы включают:

• Неправильный tenant ID в URL
• Проблемы сетевого подключения между IdP и FastComments
• IdP ожидает другой формат URL или дополнительные параметры конфигурации

Тестирование вашей SAML-конфигурации гарантирует корректную работу аутентификации до развертывания для реальных пользователей.

Предварительный чек-лист перед тестированием

Перед тестированием SAML-аутентификации убедитесь:

• ✅ SAML включен в FastComments
• ✅ Все обязательные поля заполнены (IdP URL, Certificate)
• ✅ Провайдер удостоверений настроен с информацией FastComments SP
• ✅ Тестовая учетная запись пользователя существует в вашем IdP
• ✅ Тестовому пользователю назначены соответствующие роли

Методы тестирования

Метод 1: Прямая SAML URL для входа

1. Получите SAML Login URL:

   • Скопируйте со страницы конфигурации SAML
   • Формат: https://fastcomments.com/saml/login/{your-tenant-id}

2. Проверьте аутентификацию:

   • Откройте SAML login URL в режиме инкогнито/приватного окна браузера
   • Вы должны быть перенаправлены на ваш identity provider
   • Войдите с тестовыми учетными данными
   • Проверьте успешное перенаправление обратно в FastComments

Метод 2: Доступ через админ-панель

1. Перейдите в FastComments:

   • Зайдите на FastComments admin dashboard
   • Найдите опцию SAML-входа или используйте SAML login URL

2. Завершите поток аутентификации:

   • Аутентифицируйтесь через ваш identity provider
   • Проверьте доступ к соответствующим административным функциям в зависимости от назначенных ролей

Метод 3: Тестирование интеграции виджета

Для тестирования SAML с виджетами комментариев:

1. Внедрите виджет: Используйте виджет FastComments на тестовой странице
2. Аутентификация: Нажмите вход и выберите опцию SAML (если доступна)
3. Проверка: Подтвердите, что пользователь отображается как аутентифицированный в виджете

Что проверять во время тестирования

Поток аутентификации

Успешное перенаправление:

• Пользователь перенаправляется на страницу входа IdP
• Страница входа IdP загружается корректно
• Нет ошибок сертификата или SSL

Аутентификация на IdP:

• Пользователь может войти с учетными данными IdP
• Многофакторная аутентификация работает (если настроена)
• Нет ошибок аутентификации от IdP

Возврат в FastComments:

• Пользователь перенаправляется обратно в FastComments после успешного входа в IdP
• Нет ошибок валидации SAML-assertion
• Пользователь получает доступ к соответствующим функциям FastComments

Информация о пользователе

Базовые данные профиля:

• Адрес электронной почты корректно захватывается
• Имя и фамилия отображаются, если предоставлены
• Профиль пользователя создается или обновляется

Назначение ролей:

• Административные роли назначаются корректно
• Пользователь имеет доступ к ожидаемым административным функциям
• Разрешения соответствуют назначенным ролям

Валидация SAML-ответа

Проверка сертификата:

• Подпись SAML-ответа успешно проверена
• В логах нет ошибок валидации сертификата
• Ответ принимается как подлинный

Обработка атрибутов:

• Обязательные атрибуты (email) присутствуют
• Необязательные атрибуты обрабатываются корректно
• Атрибуты ролей правильно парсятся и применяются

Тестирование разных сценариев

Стандартный пользовательский поток

1. Новый пользователь:

   • Первичный SAML-вход
   • Создание учетной записи
   • Назначение базовых разрешений

2. Существующий пользователь:

   • Вход возвращающегося пользователя
   • Обновления профиля
   • Изменения ролей

Тестирование административного доступа

1. Админские роли:

   • Тестируйте пользователей с ролью fc-admin-admin
   • Проверьте доступ к админ-панели
   • Подтвердите административные возможности

2. Специализированные роли:

   • Проверьте доступ fc-moderator к функциям модерации
   • Проверьте доступ fc-analytics-admin к аналитике
   • Проверьте доступ fc-billing-admin к функциям биллинга

Сценарии ошибок

1. Недействительные сертификаты:

   • Тест с просроченными или неправильными сертификатами
   • Проверьте корректную обработку ошибок

2. Отсутствующие атрибуты:

   • Тест SAML-ответов без обязательного атрибута email
   • Проверьте плавную обработку ошибок

3. Проблемы с сетью:

   • Тест при проблемах с подключением
   • Проверьте обработку таймаутов

Устранение неполадок при тестировании

Частые проблемы с аутентификацией

Цикл перенаправлений:

• Проверьте, что SP Entity ID совпадает с конфигурацией IdP
• Убедитесь, что ACS URL правильно настроен
• Подтвердите, что настройки SAML binding совпадают

Ошибки сертификата:

• Убедитесь, что сертификат содержит маркеры BEGIN/END
• Проверьте, что сертификат не просрочен
• Проверьте на лишние пробелы или проблемы форматирования

Проблемы с атрибутами:

• Подтвердите, что атрибут email отправляется
• Проверьте, что атрибуты ролей используют правильные имена
• Проверьте формат атрибута (массив vs. разделенный запятыми)

Инструменты для отладки

Инструменты разработчика браузера:

• Отслеживайте сетевые запросы во время SAML-потока
• Проверьте HTTP-ошибки или перенаправления
• Просмотрите данные SAML POST (если видимы)

Инструменты тестирования IdP:

• Большинство IdP предоставляют интерфейсы для тестирования SAML
• Используйте инструменты IdP для валидации формата SAML-ответа
• Тестируйте конфигурацию атрибутов до отправки в FastComments

Поддержка FastComments:

• Включите отладочный лог во время тестирования
• Сохраните сообщения об ошибках и отметки времени
• Обратитесь в поддержку с конкретными деталями ошибок

Лучшие практики тестирования

Настройка тестового окружения

1. Выделенные тестовые пользователи:

   • Создайте отдельные тестовые аккаунты в вашем IdP
   • Назначьте разные комбинации ролей
   • Используйте легко опознаваемые тестовые email-адреса

2. Изолированное тестирование:

   • Используйте инкогнито/приватные окна браузера
   • Очищайте cookies между тестами
   • Тестируйте с разными учетными записями пользователей

3. Документация:

   • Записывайте сценарии тестов и результаты
   • Документируйте любые изменения конфигурации
   • Помечайте успешные детали конфигурации

Предрелизная валидация

1. Комплексное тестирование:

   • Протестируйте все сочетания ролей
   • Проверьте крайние случаи и ошибочные состояния
   • Подтвердите, что производительность приемлема

2. Приемочное тестирование пользователями:

   • Попросите конечных пользователей протестировать поток аутентификации
   • Соберите отзывы о пользовательском опыте
   • Убедитесь, что рабочий процесс соответствует требованиям

3. Аудит безопасности:

   • Подтвердите работу валидации сертификатов
   • Проверьте надежность назначения ролей
   • Тестируйте соблюдение контроля доступа

Развертывание в продакшн

После успешного тестирования:

1. Постепенный откат: Рассмотрите возможность внедрения SAML сначала для части пользователей
2. Мониторинг: Отслеживайте показатели успешности аутентификации и логи ошибок
3. Подготовка поддержки: Подготовьте команду поддержки к вопросам, связанным с SAML
4. Документация: Предоставьте пользователям документацию по процессу входа через SAML

Это руководство охоплює поширені проблеми аутентифікації SAML та їхні рішення.

Certificate and Security Issues

Invalid Certificate Error

Symptoms:

• "Certificate validation failed" error
• Users cannot complete SAML authentication
• SAML responses are rejected

Common Causes:

• Certificate format is incorrect
• Certificate has expired
• Wrong certificate was provided
• Extra characters or whitespace in certificate

Solutions:

1. Verify Certificate Format:

   • Ensure certificate includes -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- markers
   • Remove any extra whitespace or line breaks
   • Copy certificate directly from IdP metadata or configuration

2. Check Certificate Validity:

   • Verify certificate hasn't expired
   • Confirm certificate is for the correct IdP
   • Use online certificate validators to check format

3. Re-download Certificate:

   • Download fresh certificate from IdP
   • Use IdP metadata URL if available
   • Confirm certificate matches current IdP configuration

Signature Verification Failed

Symptoms:

• SAML assertion signature validation errors
• Authentication fails after IdP login
• "Invalid signature" error messages

Solutions:

1. Algorithm Mismatch:

   • Check signature algorithm in FastComments matches IdP
   • Try different signature algorithms (SHA-256, SHA-1, SHA-512)
   • Verify digest algorithm matches IdP configuration

2. Certificate Issues:

   • Ensure correct signing certificate is configured
   • Verify certificate corresponds to private key used by IdP
   • Check for certificate rotation in IdP

Configuration Issues

Wrong Entity ID or ACS URL

Symptoms:

• IdP reports "Unknown Service Provider"
• SAML responses go to wrong endpoint
• Authentication doesn't complete

Solutions:

1. Verify SP Information:

   • Copy exact Entity ID from FastComments configuration
   • Ensure ACS URL matches format: https://fastcomments.com/saml/callback/{tenant-id}
   • Check for typos in tenant ID

2. IdP Configuration:

   • Update IdP with correct SP Entity ID
   • Configure proper ACS/Reply URL
   • Verify IdP binding settings (HTTP-POST preferred)

Missing or Incorrect Attributes

Symptoms:

• Users created without proper roles
• Missing user profile information
• "Email required" errors

Solutions:

1. Email Attribute:

   • Ensure IdP sends email attribute
   • Check attribute name mapping (email, emailAddress, etc.)
   • Verify email value is valid email address

2. Role Attributes:

   • Confirm IdP sends role/group information
   • Check role attribute names match FastComments expectations
   • Verify role values match FastComments role names exactly

3. Attribute Format:

   • Test both array and comma-separated role formats
   • Ensure attribute values don't have extra whitespace
   • Check for case sensitivity in role names

Authentication Flow Issues

Redirect Loop

Symptoms:

• Browser redirects endlessly between FastComments and IdP
• Authentication never completes
• Multiple redirects shown in browser developer tools

Solutions:

1. Check SP Configuration:

   • Verify Entity ID matches IdP configuration exactly
   • Ensure ACS URL is correctly configured in IdP
   • Check for trailing slashes in URLs

2. Session Issues:

   • Clear browser cookies and try again
   • Test in incognito/private browser window
   • Check for session timeout settings

Access Denied After Authentication

Symptoms:

• SAML authentication succeeds
• User is redirected to FastComments
• "Access denied" or permissions error displayed

Solutions:

1. Role Assignment:

   • Verify user has appropriate roles in IdP
   • Check role attribute is being sent in SAML response
   • Confirm role names match FastComments requirements exactly

2. Package Limitations:

   • Verify account has Flex or Pro plan
   • Check SAML feature is enabled for the package
   • Contact support if package includes SAML but feature unavailable

Identity Provider Specific Issues

Microsoft Azure AD

Common Issues:

• App role assignments not reflecting in tokens
• Claims not being sent properly
• User assignment requirements

Solutions:

• Check user assignment to FastComments application
• Verify app roles are properly configured
• Ensure claims mapping includes required attributes

Okta

Common Issues:

• Group filters not working correctly
• Attribute statements misconfigured
• Application assignment problems

Solutions:

• Review attribute statement configuration
• Check group assignment and filtering rules
• Verify application is assigned to appropriate users/groups

Google Workspace

Common Issues:

• Custom attributes not mapping correctly
• Group membership not being sent
• SAML application configuration errors

Solutions:

• Configure custom schema for role attributes
• Check group membership propagation
• Verify SAML application attribute mapping

Network and Connectivity Issues

Timeout Errors

Symptoms:

• Authentication process times out
• "Request timeout" or similar errors
• Slow authentication flow

Solutions:

1. Network Connectivity:

   • Check firewall rules allow FastComments communication
   • Verify DNS resolution for fastcomments.com
   • Test network connectivity from IdP to FastComments

2. Performance Issues:

   • Check IdP response times
   • Verify certificate chain validation isn't slow
   • Consider network latency between IdP and users

SSL/TLS Issues

Symptoms:

• Certificate warnings during authentication
• SSL handshake failures
• "Secure connection failed" errors

Solutions:

• Ensure all SAML endpoints use HTTPS
• Check certificate validity for all involved domains
• Verify TLS version compatibility

Debugging and Logging

Enabling Debug Information

1. Browser Developer Tools:

   • Monitor Network tab during SAML flow
   • Check Console for JavaScript errors
   • Examine SAML POST requests (if visible)

2. IdP Logging:

   • Enable SAML debugging in your IdP
   • Review IdP logs for SAML request/response details
   • Check for attribute mapping issues

Common Log Messages

FastComments Logs:

• "SAML config not found" - SAML not enabled or misconfigured
• "Invalid certificate" - Certificate validation failed
• "Missing email attribute" - Required email not provided in SAML response

IdP Logs:

• "Unknown service provider" - Entity ID mismatch
• "Invalid ACS URL" - Assertion Consumer Service URL incorrect
• "User not assigned" - User lacks access to SAML application

Getting Help

Information to Gather

When contacting support, provide:

• Exact error messages and timestamps
• SAML configuration details (without sensitive data)
• IdP type and version
• Steps to reproduce the issue
• Browser and network information

FastComments Support

For SAML-related issues:

1. Use the support portal
2. Include tenant ID and affected user emails
3. Provide error messages and configuration details
4. Specify IdP type and configuration approach

IdP Support

For IdP-specific issues:

• Consult IdP documentation for SAML troubleshooting
• Use IdP support channels for configuration problems
• Leverage IdP community forums for common issues

Prevention Tips

Best Practices

1. Test Thoroughly:

   • Test configuration changes in non-production environment
   • Verify with multiple test users
   • Document working configurations

2. Monitor Regularly:

   • Set up monitoring for SAML authentication failures
   • Review certificate expiration dates
   • Monitor for IdP configuration changes

3. Documentation:

   • Maintain documentation of SAML configuration
   • Document any custom configurations or workarounds
   • Keep contact information for IdP administrators

Proactive Maintenance

1. Certificate Management:

   • Monitor certificate expiration dates
   • Plan certificate rotation procedures
   • Test certificate updates before expiration

2. Configuration Reviews:

   • Regularly review SAML configuration
   • Verify IdP configuration remains current
   • Update documentation as changes are made