本指南记录了 2025 年 3 月 13 日发布的全新 AWS Wickr 管理控制台。有关经典版 AWS Wickr 管理控制台的文档,请参阅经典管理指南。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对 SSO 和身份验证问题进行故障排除
本部分可帮助管理员解决 AWS Wickr 的单点登录 (SSO) 和身份验证问题。如果本节中的步骤无法解决您的问题,请在 Support Cent er 中AWS 提交
重要
Wickr 仅支持 Op enID Connect (O IDC)。 SAML-based 不支持身份提供者。如果您的组织使用 SAML-only 身份提供商,则必须配置 OIDC-compatible 替代方案或实施 OIDC 网桥。
开始前的准备工作
在进行故障排除之前,请验证以下内容:
-
您拥有对 Wickr 管理控制台的管理员访问权限。
-
您可以访问组织的身份提供商 (IdP) 配置。
-
您的 Wickr 网络设置中已启用 SSO。
-
您的身份提供者是 OIDC-compliant。Wickr 不支持 SAML。
常见的 SSO 问题
支持的身份提供商
Wickr 为以下 OIDC-compliant身份提供商提供配置指导:
微软 Entra ID(前身为 Azure AD)
Okta
Amazon Cognito
AWS Identity and Access Management 身份中心
任何 OIDC-compliant 身份提供者都可以与 Wickr 一起使用。对于上面未列出的提供商,请使用配置 SSO 文档中的常规 OIDC 配置参数。
用户无法使用 SSO 登录
当用户报告无法使用 SSO 登录时,请仔细检查以下内容。
验证 Wickr SSO 配置
-
在 Wickr 管理员控制台中,选择网络设置,然后选择单个 Sign-On。
-
确认已启用 SSO。
-
验证颁发者 URL、客户端 ID 和客户端密钥是否与您的身份提供商配置相匹配。
-
验证身份提供商中的重定向 URI 是否与 Wickr 管理控制台中显示的值相匹配。
常见的 SSO 错误
- “未找到用户”
-
您的身份提供商中不存在该用户,或者该用户尚未被分配到 Wickr 应用程序。验证用户是否存在于您的 IdP 中,并且小组分配正确。
- “响应无效” 或 “配置错误”
-
OIDC 元数据或端点配置错误。验证 Wickr 和您的身份提供商之间的发行者网址、客户端 ID 和重定向 URI 是否匹配。
- “访问被拒绝”
-
用户在您的身份提供商中缺少所需的群组成员资格或应用程序分配。检查您的 IdP 的应用程序分配设置。
- 未提示用户输入公司 ID
-
如果在 SSO 注册期间没有提示用户输入公司 ID,请在 Wickr 管理员控制台的 “网络设置”、“网络配置文件” 中验证公司 ID 是否已配置。
确定问题出在 Wickr 还是您的身份提供商身上
使用以下问题来确定问题出在哪里:
-
用户能否使用同一 IdP 向其他应用程序进行身份验证? 如果不是,则问题在于您的身份提供商,而不是 Wickr。
-
是所有用户都受到影响,还是只有特定用户受到影响? 如果只有特定用户,请在您的 IdP 中查看他们的群组分配和应用程序访问权限。
-
您的 IdP 配置最近有变化吗? 证书轮换、策略更改或端点更新可能会中断 OIDC 连接。
-
错误发生在 Wickr 客户端还是 IdP 登录页面中? 如果错误出现在IdP登录页面上,则问题出在您的身份提供商身上。
其他资源
微软 Entra ID 单点登录设置(包括 Entra-specific 故障排除)
