Solución avanzada de problemas de pasaportes

Ocasionalmente, resolver los problemas de inicio de sesión de Passport puede requerir una solución de problemas más profunda. Esta guía le proporcionará requisitos adicionales, errores comunes y métodos avanzados de solución de problemas que pueden ayudarlo al tratar con Passport.

Prácticas recomendadas de inicio de sesión

• Inicie sesión con la dirección de correo electrónico completa : al iniciar sesión en la ventana de inicio de sesión de Passport, siempre se debe usar la dirección de correo electrónico completa en el campo de nombre de usuario para garantizar que la sesión de autenticación esté conectada al IdP y no a la autenticación local. Para evitar confusiones al utilizar direcciones de correo electrónico en la ventana de inicio de sesión de FileVault, asegúrese de que la casilla Visibilidad del usuario administrado esté desactivada en el elemento de la biblioteca de la ventana de inicio de sesión. Puedes leer más sobre esto en nuestro artículo Compatibilidad de pasaportes .

• Asegúrese de que su cuenta tenga un apellido o apellido de familia en su IdP : el atributo familyName es necesario cuando se usa Passport para iniciar sesión con credenciales de IdP. Asegúrate de que, incluso si usas una cuenta de servicio, este campo se rellene en los atributos de usuario de tu proveedor de identidad.

IdP compatibles con pasaportes

Los IdP compatibles actualmente con Kandji Passport son Google Workspace, Microsoft Entra, Okta y OneLogin.

Requisitos del pasaporte cuando se utilizan otros desplazados internos

La configuración de Passport requiere flujos de trabajo OIDC y ROPG para funcionar. Consulte con su IdP para verificar si es compatible con estas funciones.

Si bien ofrecemos la opción de elegir Mac Login o Web Login, recomendamos configurar Passport primero con Mac Login, ya que puede haber factores adicionales al configurar Web Login. Puede hacer referencia a las configuraciones admitidas mediante Google Workspace, Microsoft Entra, Okta o OneLogin como recurso.

• Configuración de Passport con Google Workspace

• Passport Configuration with Microsoft Entra (formerly Azure AD)

• Configuración de pasaporte con Okta

• Configuración de pasaporte con OneLogin

Si no está utilizando uno de los proveedores de identidad anteriores, es posible que aún pueda configurar Passport mediante la opción "Otro ".

Configurar otro IdP

Configuración de autenticación

• Al configurar un IdP que no sea Google Workspace, Microsoft Entra, Okta o OneLogin, seleccione la opción Otro en el menú desplegable Proveedor de identidad .

Modo de autenticación

• Si no utiliza la autenticación multifactor (MFA), debe elegir Mac Login. 

• Si utiliza la autenticación multifactor (MFA), debe elegir Web Login. 

Inicio de sesión en Mac

1. Introduzca la URL del proveedor de identidades.

2. Ingrese el ID de cliente de la aplicación Passport que creó en su IdP (también puede llamarse ID de aplicación)

   

Inicio de sesión web

1. Introduzca la URL del proveedor de identidad

2. Ingrese el ID de cliente de la aplicación Passport que creó en su IdP (también puede llamarse ID de aplicación)

   

3. Al usar el inicio de sesión web, la aplicación deberá admitir tanto la autenticación PKCE como la autenticación Post. Es posible que algunos IdP requieran la configuración de dos aplicaciones diferentes.

4. En la mayoría de los casos, el URI de redireccionamiento debe ser el URI de redireccionamiento predeterminado de su IdP. 

Solución de problemas

Hay muchos factores a tener en cuenta a la hora de solucionar problemas de Passport al seleccionar la opción Otro para el IdP de Passport. Esta sección ayuda a obtener errores y encontrar el contexto para comprender los errores con el fin de aplicar cambios de configuración.

Diagnóstico de pasaportes Kandji

Si un usuario no puede iniciar sesión en la ventana de inicio de sesión de Passport, puede abrir Kandji Passport Diagnostics presionando Comando-Mayús-K-L en el teclado. Verás información útil, como mensajes de error de tu IdP.

Si sigues teniendo problemas con Passport, ponte en contacto con el equipo de soporte para obtener ayuda.

Conectividad de red

Passport requiere conectividad de red para comprobar las credenciales de usuario con el IdP. Al personalizar la ventana de inicio de sesión en Passport, muestre el administrador de red para que los usuarios puedan unirse a una red Wi-Fi según sea necesario. El administrador de red respeta la configuración de seguridad de AirPort en macOS. Como paso de solución de problemas para descartar problemas de red, puede conectar un dispositivo de prueba a un punto de acceso móvil en la ventana de inicio de sesión de Passport.

Errores comunes

• Error: Token POST 401 "error":"No autorizado","error_description":"Error de autenticación: credenciales de usuario no válidas"Este error indica una contraseña no coincidente y se debe verificar que la contraseña funcione en el lado del proveedor de identidad. Una respuesta 200 en la solicitud GET para openid-configuration sugeriría que la URL del proveedor de identidad y el ID de aplicación (también conocido como ID de cliente) en el elemento de la biblioteca de Passport están configurados correctamente para la comunicación con el IdP.

• Error: Token POST 403 "error":"access_denied","error_description":"El usuario final no tiene acceso a esta aplicación"Este error indica que es posible que la cuenta no tenga acceso a la aplicación Passport OIDC en el lado del proveedor de identidad, y debemos verificar dicho acceso allí. Una respuesta 200 en la solicitud GET para openid-configuration sugeriría que la URL del proveedor de identidad y el ID de aplicación (también conocido como ID de cliente) en el elemento de la biblioteca de Passport están configurados correctamente para la comunicación con el IdP.

• Error en la descodificación de tickets Error en la decodificación de ticketsError al iniciar sesión con posible error: DesconocidoPor lo general, se trata de un problema con el secreto de cliente opcional. Para solucionar problemas, quite por completo el secreto de cliente opcional del elemento de la biblioteca Passport y asegúrese de que el dispositivo se registre. Una vez que se haya registrado, cierre la sesión del usuario local y vuelva a iniciarla con Passport. Este error también podría estar relacionado con una condición de red. Para descartarlo, intente conectarse a un punto de acceso móvil como parte de la solución de problemas para ver si el error aún está presente.

• Se ha producido un error al obtener información del usuario: No se ha encontrado ninguna clave que coincida con "familyName"

  Este error se devuelve para una cuenta que carece de una propiedad Apellido, también conocida como apellido, una clave de información de usuario necesaria para Passport.

Búsqueda de código de error

Muchos IdP generarán sus propios códigos de error específicos. Consulte con su IdP para ver si tiene una página de búsqueda para leer más sobre el error específico que está recibiendo de ellos. Un ejemplo de esto es el formulario de código de error de Microsoft para buscar errores de Entra.

Artículos útiles de apoyo para pasaportes

Estos artículos complementarios de soporte de Passport contienen información útil para la solución de problemas adicionales.

• Compatibilidad de Passport con las funciones de macOS y Kandji

• Pasaporte y gestión de contraseñas