Skip to main content

Résolution des problèmes d’authentification SAML

Si vous utilisez l’authentification unique SAML et que les utilisateurs ne peuvent pas s’authentifier pour y accéder GitHub, vous pouvez résoudre le problème.

Erreur : « L’heure actuelle est antérieure à la condition NotBefore »

Cette erreur peut se produire lorsqu’il existe un écart de temps trop important entre votre IdP et GitHub, ce qui est fréquent avec les IdP auto-hébergés.

Si vous rencontrez cette erreur, vérifiez que l’heure sur votre d’applianceest correctement synchronisée avec votre serveur NTP.

Si vous utilisez ADFS comme fournisseur d’identité, définissez aussi NotBeforeSkew dans ADFS sur 1 minute pour GitHub. Si NotBeforeSkew est défini sur 0, même les différences de temps très petites, y compris de l’ordre de la milliseconde, peuvent entraîner des problèmes d’authentification.

Les utilisateurs sont redirigés à plusieurs reprises pour s’authentifier

Si les utilisateurs sont redirigés à plusieurs reprises vers l’invite d’authentification SAML dans une boucle, il peut être nécessaire d’augmenter la durée de la session SAML dans vos paramètres de fournisseur d’identité.

La valeur SessionNotOnOrAfter envoyée dans une réponse SAML détermine à quel moment un utilisateur sera redirigé vers l’IdP pour s’authentifier de nouveau. Si une durée de session SAML est configurée pendant 2 heures ou moins, GitHub actualise une session SAML 5 minutes avant son expiration. Si la durée de votre session est configurée pour 5 minutes ou moins, les utilisateurs peuvent être bloqués dans une boucle d’authentification SAML.

Pour résoudre ce problème, nous vous recommandons de configurer une durée minimale de session SAML de 4 heures. Pour plus d’informations, consultez « Référence de configuration SAML ».

Erreur : non-correspondance du digest

Une erreur « Incompatibilité de synthèse » indique que votre fournisseur d’identité SAML utilise un certificat de signature SAML différent de celui que vous avez chargé vers GitHub.

Téléchargez à nouveau ce certificat SAML à partir de votre fournisseur d’identité et validez-le à l’aide d’un outil tel que l’outil Mettre en forme un certificat x509 à partir de OneLogin. Mettez ensuite à jour le certificat enregistré dans les GitHub paramètres SAML.