R : Pour résoudre cette erreur, procédez comme suit :

1. Dans le fichier {IdP name}.properties, récupérez le paramètre osp.api.url.

   Le fichier se trouve dans le répertoire {dossier du référentiel}\sa\DomsInfo\osp\.

   Par exemple, pour l’IdP alm par défaut, ouvrez le fichier {dossier du référentiel}\sa\DomsInfo\osp\alm.properties pour récupérer le paramètre osp.api.url.

2. Exécutez la commande suivante pour envoyer une requête ping à osp.api.url sur chaque nœud :

   ping {osp.api.url}

3. Vérifiez la sortie du ping :

   • Si la commande ping ne parvient pas à obtenir l’URL et renvoie un problème de réseau, demandez de l’aide à l’équipe réseau pour un diagnostic plus approfondi.

   • Si l’équipe réseau ne parvient pas à fournir des solutions pratiques, essayez la solution suivante :

     1. Dans le fichier {nom de l’IdP}.properties, définissez le paramètre osp.api.url sur l’adresse locale du serveur. Par exemple, osp.api.url= http\://localhost\:{numéro du port HTTP}/osp/a/{IdP name}.

        Pour obtenir le numéro de port http, dans le fichier <installdir>server\conf\jetty.xml, vérifiez la ligne <Set name="port"<property name="jetty.port" default=....></set>.

        Note : Assurez-vous que la communication HTTP est activée dans le fichier jetty.xml et que le système écoute activement sur ce port.

     2. Redémarrez le service sur chaque nœud.

Cause profonde : L’attribut forceAuthAtIDP a été activé sur le serveur.

R : Mettez à jour la valeur de l’attribut forceAuthAtIDP sur false dans le fichier authcfg.xml dans les répertoires suivants :

• <installdir>\webapps\osp\ospconf\WEB-INF\conf\current\{nom du locataire}\services\

• <installdir>\osp\ospconf\WEB-INF\conf\current\{nom du locataire}\services\

Par exemple, forceAuthAtIDP="${login.saml2.forceAuth:false}.

R :

Cause profonde : une URL de métadonnées SP incorrecte a été enregistrée dans l’IdP, de sorte que l’IdP ne peut pas reconnaître la demande SAML envoyée par le système.

Solution: assurez-vous que les métadonnées correctes du SP peuvent être chargées depuis OpenText Application Quality Management. Par ailleurs, OpenText Application Quality Management doit être correctement enregistré comme SP dans l’IdP avant de valider l’IdP. Une fois les métadonnées SP enregistrées dans l’IdP, lors de la validation de l’IdP, vous êtes redirigé correctement vers la page de connexion de l’IdP.

R :

Cause profonde : Les affirmations de réponse SAML ne contenaient pas l’affirmation requise de « Clé d’identité ».

Solution: Si l’IdP renvoie une réponse SAML, cela signifie que la relation de confiance entre l’IdP et OpenText Application Quality Management a bien été établie. Le seul problème est que l’utilisateur IdP ne peut pas être validé. Les utilisateurs OpenText Application Quality Management et les utilisateurs IdP sont mis en correspondance en utilisant les valeurs IdentiyKey. Si l’IdP ne fournit pas la valeur IdentityKey dans la réponse SAML, OpenText Application Quality Management ne peut pas faire correspondre l’utilisateur IdP à un utilisateur OpenText Application Quality Management, et donc la validation échoue.

Pour résoudre ce problème, dans l’IdP, mappez IdentityKey comme attribut SAML sur un attribut IdP qui peut identifier de manière unique l’utilisateur IdP.

R : Dans le navigateur Web, saisissez l’URL du SP comme ceci : {ALM host:port}/osp/a/alm/auth/app/. Si elle vous redirige vers la page de connexion de l’IdP et si après authentification elle vous redirige vers la page du SP sans erreur, cela signifie que le SP a reçu la réponse SAML de l’IdP : la relation de confiance entre l’IdP et OpenText Application Quality Management a bien été établie.

R :

Cause profonde : Une ancienne version de Lanceur du client ALM a été utilisée.

Solution: Téléchargez le dernier Lanceur du client ALM pour travailler avec la solution SSO 15.x.

https://marketplace.microfocus.com/appdelivery/content/alm-client-launcher

R : Si vous réglez Activer l’authentification locale sur OUI dans *Activer l’authentification locale, le système authentifie les utilisateurs locaux du côté OpenText Application Quality Management et authentifie les utilisateurs IdP du côté IdP. Si vous êtes un utilisateur local, OpenText Application Quality Management vous permet d’activer le SSO même si l’IdP « alm » ne réussit pas la validation car, dans ce cas, vous avez toujours la possibilité de vous connecter en tant qu’utilisateur local pour corriger la configuration IdP afin que les utilisateurs IdP puissent se connecter.

R : Nous vous recommandons d’activer l’authentification locale afin que, une fois le SSO activé, les utilisateurs locaux puissent toujours se connecter pour résoudre les problèmes de configuration du SSO.

R : Depuis la version 15.0.1, une fois le SSO activé, tous les utilisateurs sont authentifiés soit par l’authentification SSO, soit par l’authentification locale.

Les comptes locaux sont toujours conservés dans le système après l’activation du SSO. Pour être authentifié, chaque compte local doit remplir l’une des deux conditions suivantes :

• Chaque utilisateur local est associé à un utilisateur IdP.
• Chaque utilisateur local est configuré en tant qu’utilisateur local et l’authentification locale est activée.

R : La version 15.0.1 et les versions ultérieures prennent en charge l’authentification locale. Lorsque l’authentification locale est activée, l’administrateur du site peut configurer un utilisateur en tant qu’utilisateur local en spécifiant son IdP ID comme « local » : ces utilisateurs locaux peuvent se connecter directement.

R : Il n’y a pas d’impact sur les données du projet. L’authentification SSO ne modifie que la gestion des utilisateurs.

R : Le passage en mode SSO ne modifie pas les noms d’utilisateur des utilisateurs existants. Ils peuvent toujours accéder aux mêmes ressources qu’en mode non SSO.

Ils sont simplement mis en correspondance avec les utilisateurs IdP correspondants. Le tableau UTILISATEURS comporte 2 colonnes supplémentaires : US_IDENTITY_KEY et US_IDPID_NAME pour conserver les informations de mappage de chaque utilisateur.

R : Lorsque version 15 fonctionne en mode SSO, certaines sessions IdP et SP supplémentaires sont ajoutées au cookie des requêtes HTTP, ce qui rend la taille de l’en-tête de la requête beaucoup plus importante que lorsque le système fonctionne en mode non SSO. Si le proxy inverse ou le système de l’utilisateur a restreint la taille de l’en-tête de la requête pour qu’elle soit inférieure à la taille réelle, ce problème se produit.

Pour résoudre ce problème, modifiez les paramètres Jetty afin d’augmenter la taille de l’en-tête de la demande. Taille recommandée : 81920. Pour en savoir plus sur la façon de configurer « requestHeaderSize » des connecteurs Jetty, consultez la documentation Jetty.

Si le proxy inverse restreint également la taille de l’en-tête de la demande, demandez à l’administrateur réseau de modifier cette taille.

R : Pour modifier manuellement les fichiers de configuration du SSO :

1. Dans le fichier qcConfigFile.properties situé dans {dossier d’installation}, définissez la valeur de « repositoryPath » sur le nouveau dossier de référentiel.

2. Dans le fichier wrapper.conf situé dans {deployment_folder}/wrapper, mettez à jour la valeur de « wrapper.java.additional.34 » comme suit :

   wrapper.java.additional.34=-Dalm.osp.framework.generic-properties-filename="{New repository}/sa/DomsInfo/osp/basic.properties"

3. Dans le fichier basic.properties situé dans {dossier du référentiel du projet}, mettez à jour la valeur de « oauth-keystore.file » comme suit :

   oauth-keystore.file={New repository}\\sa\\DomsInfo/osp/basic.pfx

4. Dans le fichier ospcfg.xml situé dans {dossier du référentiel du projet}, mettez à jour la valeur de name="propertiesFile" comme suit :

   <NamedValue value="{New repository}\sa\DomsInfo/osp/alm.properties" name="propertiesFile"/>

5. Exécuter Configurer le fournisseur de services et Configurer le fournisseur d’identité dans l’Outil de configuration SSO.

R : Modifiez le paramètre de sécurité dans Chrome ou Edge :

1. Saisissez « chrome://flags/ » dans Chrome ou « edge://flags/ » dans Edge.
2. Recherchez le mot clé « SameSite by default cookies ».

3. Pour Chrome : Réglez les options Cookies sans SameSite doit être sécurisé et Cookies par défaut de SameSite sur Désactivé.

   Pour Edge : Définissez les options Cookies par défaut de SameSite et Schemeful Same-Site sur Désactivé.