Prácticas recomendadas de inicio de sesión
Al iniciar sesión en la ventana de inicio de sesión de Passport, siempre se debe usar la dirección de correo electrónico completa en el campo de nombre de usuario para garantizar que la sesión de autenticación esté conectada al IdP y no a la autenticación local. Para evitar confusiones con el uso de direcciones de correo electrónico en la ventana de inicio de sesión de FileVault, asegúrese de que la casilla de verificación Visibilidad de usuario administrada no esté seleccionada en el elemento de la biblioteca de la ventana de inicio de sesión. Puedes leer más sobre esto en nuestro artículo Compatibilidad de pasaportes.
Diagnóstico de pasaportes Kandji
Si un usuario no puede iniciar sesión en la ventana de inicio de sesión de Passport, puede abrir Kandji Passport Diagnostics presionando Comando-Mayús-K-L en el teclado. Verás información útil, como mensajes de error de tu IdP.
Conectividad de red
Passport requiere conectividad de red para comprobar las credenciales de usuario con el IdP. Al personalizar la ventana de inicio de sesión en Passport, muestre el administrador de red para que los usuarios puedan unirse a una red Wi-Fi según sea necesario. El administrador de red respeta la configuración de seguridad de AirPort en macOS.
Errores comunes de Okta
Para buscar cualquier código de error de Okta, puede visitar la página Códigos de error de la API de Okta .
Error: Token POST 401
Descripción: "error":"No autorizado","error_description":"Error de autenticación: credenciales de usuario no válidas"
Este error indica una contraseña no coincidente y la contraseña debe verificarse en el lado del proveedor de identidad. La respuesta 200 en la solicitud GET para openid-configuration sugiere que la URL del proveedor de identidad y el ID de aplicación (también conocido como ID de cliente) en el elemento de la biblioteca Passport están configurados correctamente para la comunicación con el proveedor de identidad.
Error: Token POST 403
Descripción: "error":"access_denied","error_description":"El usuario final no tiene acceso a esta aplicación"
Este error indica que es posible que la cuenta no tenga acceso a la aplicación Passport OIDC en el lado del proveedor de identidad, y debemos verificar dicho acceso allí. La respuesta 200 en la solicitud GET para openid-configuration sugiere que la URL del proveedor de identidad y el ID de aplicación (también conocido como ID de cliente) en el elemento de la biblioteca Passport están configurados correctamente para la comunicación con el proveedor de identidad.