Résoudre les incidents - Erreurs communes
Vérifier la cohérence entre les configurations du firewall et du tenant Microsoft Entra ID
Placez-vous dans le module Configuration > Système > Console CLI et tapez la commande suivante :
CONFIG AUTH OIDC CHECK DomainName=<Microsoft_EntraID_domain_name>.
L'URL du service Microsoft Entra ID (Issuer ID) est incorrecte dans la configuration du firewall
L'un des messages suivants est affiché :
type=warning code=1 domain="<domain name>" token="IssuerID" msg="Error when trying to get OIDC Provider Metadata document"
type=warning code=1 domain="<domain name>" token="IssuerID" msg="Error when trying to get OIDC Provider Metadata document (timeout)" value0="timeout"
type=warning code=1 domain="<domain name>" token="IssuerID" msg="Error when trying to get OIDC Provider Metadata document (invalid peer certificate)" value0="invalid peer certificate"
L'ID d'application (client) est incorrecte dans la configuration du firewall
Le message suivant est affiché :
type=warning code=2 domain="<domain name>" token="ClientID" msg="Error with ClientID when testing connection to SNS OpenID application : <OpenID Provider error code>/<OpenID Provider error message>" value0=<OpenID Provider error code> value1=<OpenID Provider error message>
Le secret client est incorrect dans la configuration du firewall
Le message suivant est affiché :
type=warning code=3 domain="<domain name>" token="ClientSecret" msg="Error with ClientSecret when testing connection to SNS OpenID application : <OpenID Provider error code>/<OpenID Provider error message>" value0=<OpenID Provider error code> value1=<OpenID Provider error message>
Le fichier de logs Utilisateurs (module Monitoring > Logs - Journaux d'audit) contient également une ligne du type :
id=firewall time="2025-01-09 19:59:53" fw="documentation-firewall.stormshield.eu" tz=+0100 startime="2025-01-09 19:59:53" user="unknown" src=10.100.17.85 domain="mycompanyinternal.onmicrosoft.com" confid=0 ruleid=0 method="OIDC" totp="no" error=5 msg="error to get token response"
Une URI de redirection est invalide ou n'est pas déclarée dans l'application du tenant Microsoft Entra ID
Le message suivant est affiché :
type=info code=4 domain="<domain name in section>" msg="Error with redirect_uri <redirect_uri> when testing connection to SNS OpenID application" value0=<redirect_uri>
Aucune URI de redirection n'est valide ou n'a été déclarée dans l'application du tenant Microsoft Entra ID
Le message suivant est affiché :
type=warning code=5 domain="<domain name>" msg="Error : No working redirect_uri"
Autres cas
Le message générique suivant est affiché :
type=warning code=6 domain="<domain name>" msg="Error when testing connection to SNS OpenID application : <OpenID Provider error code>/<OpenID Provider error message>" value0=<OpenID Provider error code> value1=<OpenID Provider error message>
Autres erreurs courantes
La configuration de l'heure ou du fuseau horaire sur le firewall n'est pas correcte
Cette erreur provoque l'écriture d'une ligne dans le module Monitoring > Logs - Journaux d'audit > Utilisateurs avec le message suivant :
"ID Token with an invalid 'exp' claim"
La revendication <preferred_username> est absente de la configuration du tenant Microsoft Entra ID
Cette erreur provoque l'écriture d'une ligne visible dans le module Monitoring > Logs - Journaux d'audit > Utilisateurs avec le message suivant :
ID Token with an invalid or missing 'preferred_username' claim
Les serveurs Microsoft Entra ID sont injoignables
Cette erreur provoque l'écriture d'une ligne visible dans le module Monitoring > Logs - Journaux d'audit > Utilisateurs avec le message suivant :
Error while retrieving the OIDC Provider Metadata document
Un groupe reçu par le fournisseur d'identité (Microsoft Entra ID) n'a pas été déclaré dans le firewall
Cette erreur provoque l'écriture d'une ligne visible dans le module Monitoring > Logs - Journaux d'audit > Événements système du type :
Tentative d'authentification par les GUIDs suivants non déclarés : GUID="<GUID_reference>"