Problemen met inloggen via SAML SSO oplossen in Payhawk

Prev Next

Als het niet lukt om via op SAML gebaseerde Single Sign-On (SSO) in te loggen bij Payhawk, vind je in deze handleiding diagnostische informatie aan de hand waarvan je dit probleem kunt oplossen.

De meeste problemen op het gebied van inloggen via SSO ontstaan wanneer gebruikersaccounts of SSO-configuraties niet goed zijn ingesteld door de beheerder in je Identity Provider (IdP) of in Payhawk. .

De benodigde gegevens verzamelen

Aan de hand van de volgende stappen verzamel je de nodige gegevens om de hoofdoorzaak in kaart te brengen:

  1. Genereer een HAR-bestand

  2. Registreer de reactie van SAML

  3. Deel de diagnostische gegevens met Payhawk

Stap 1: Genereer een HAR-bestand

Een HAR-bestand (HTTP-archief) legt alle netwerkactiviteit vast tijdens je aanmeldingspoging, inclusief omleidingen, verzoeken en reacties, en helpt zo bij het diagnosticeren van problemen met connectiviteit, omleidingen of authenticatiestromen. Bestudeer het artikel over HAR-bestanden genereren..

Je kunt het HAR-bestand in de volgende gevallen gebruiken:

  • Als je niet kunt inloggen maar er geen foutmelding verschijnt

  • Als je vastloopt in een leeg of laadscherm

  • In het geval van een SSO-redirect-lus

Stap 2: Registreer de reactie van SAML

De reactie van SAML is het authenticatiebericht dat van je IdP naar Payhawk wordt gestuurd. Het bevat informatie over de gebruiker, de bevestiging en eventuele fouten die zijn opgetreden tijdens het authenticatieproces.

Het registreren van deze reactie helpt bij het identificeren van configuratiefouten, ontbrekende claims of ongeldige beweringen.

Je kunt de reactie van SAML op de volgende manieren registreren:

De ontwikkelaarstools van je browser gebruiken

Het gebruik van de ontwikkelaarstoels van je browser is de meest betrouwbare methode om een reactie van SAML te registreren tijdens een inlogpoging:

  1. Open de ontwikkelaarstools van je browser - druk op F12 of klik met de rechtermuisknop en selecteer Inspect.

  2. Ga naar het tabblad Network.

  3. Initieer een inlogpoging via SSO bij Payhawk vanaf je Identity Provider.

  4. Ga op zoek naar een POST-verzoek naar https://id.payhawk.com/saml2/idpresponse.

  5. Klik op dat verzoek en navigeer naar het gedeelte payload of formuliergegevens.

  6. Ga op zoek naar de parameter SAMLResponse. De waarde zal een Base64-gecodeerde string zijn.

  7. Kopieer de volledige Base64-string.

  8. Decodeer deze met een online Base64-decoder, zoals deze, om de volledige SAML assertion XML te bekijken.

Je moet in de gedecodeerde XML naar de volgende gegevens zoeken:

  • De <saml:Issuer> moet overeenkomen met de entiteit-ID van je IdP.

  • De <saml:Audience> moet overeenkomen met de entiteit-ID van Payhawk.

  • De <saml:NameID> moet het e-mailadres of de identifier van de gebruiker bevatten.

  • Foutmeldingen of ongeldige voorwaarden .

Een browserextensie gebruiken

Browser-extensies kunnen het automatisch vastleggen en decoderen van SAML-berichten vereenvoudigen.

Een paar aanbevolen extensies zijn:

Zo gebruik je de browserextensie om het probleem op te lossen:

  1. Installeer de extensie.

  2. Open het extensiepaneel (meestal in de hulpprogramma's voor ontwikkelaars of als een werkbalkpictogram in de browser).

  3. Start het inlogproces via SSO.

  4. De extensie zal automatisch het SAML-verzoek en de SAML-reactie registreren en weergeven.

  5. Exporteer of kopieer de gedecodeerde SAML-reactie-XML.

De logs van je IdP controleren

Sommige IdP's, zoals Microsoft Entra ID (Azure AD), Okta of Google Workspace, bieden gedetailleerde aanmeldingslogs die de SAML-bevestiging of de claims kunnen bevatten die naar Payhawk zijn verzonden.

Als je Microsoft Entra ID gebruikt:

  1. Log in op het Azure-portaal.

  2. Ga naar Azure Active Directory > zakelijke toepassingen > [jouw Payhawk-app].

  3. Navigeer naar aanmeldingslogboeken.

  4. Ga op zoek naar de mislukte inlogpoging en klik om de details te bekijken.

  5. Ga op zoek naar de gegevens van de SAML-token of de afgegeven claims.

Als je andere IdP's gebruikt, raadpleeg dan de officiële documentatie van je IdP voor toegang tot sign-in of audit logs.

Stap 3: Deel de diagnostische gegevens met Payhawk

Wanneer je het HAR-bestand en de SAML-reactie hebt verzameld, stuur je deze naar support@payhawk.com of plaats je ze in de chat zodat Payhawk Support ze kan analyseren:

In je bericht moet je de volgende gegevens vermelden:

  • Een beschrijving van het probleem (bijvoorbeeld "SSO login mislukt met fout X")

  • Het HAR-bestand

  • De gedecodeerde SAML-reactie-XML.

  • Je bedrijfsnaam en zakelijke e-mailadres

Veelvoorkomende SAML-problemen en wat je wilt laten controleren

Probleem

Mogelijke oorzaak

Wat te controleren

Inloggen zomaar mislukt

Gebruiker niet toegewezen aan Payhawk-app in de IdP

Controleer of de gebruiker is toegewezen in de IdP (bijvoorbeeld Azure AD, Okta).

Ongeldige SAML-reactie

Verkeerd geconfigureerde ID's of eindpunten van de entiteit

Controleer of de ID van de entiteit en ACS-URL van Payhawk overeenkomen met je IdP-configuratie.

Gebruiker niet gevonden

E-mailadres of NameID komt niet overeen

Controleer of de SAML NameID overeenkomt met het Payhawk-e-mailadres van de gebruiker.

Fout in certificaat

Verlopen of niet overeenkomend ondertekeningscertificaat

Controleer of het IdP-certificaat up-to-date is in de Payhawk SSO-instellingen.

Omleidingslus

Onjuiste URL voor SSO-initiatie

Controleer of je de juiste Payhawk SSO-login URL gebruikt.

Handige bronnen