Siehe auch: SSO (Einmalige Anmeldung)
Diese Anleitung erklärt, wie Sie das SSO-Token Ihres Identity Providers (IdP, d. h. des externen Authentifizierungsdienstes) untersuchen. Sie nutzen dies, um die Claims zu überprüfen und Probleme mit dem Field Mapping zu debuggen.
Wann Sie diese Anleitung verwenden
Verwenden Sie diese Anleitung, wenn:
Eine SSO‑Anmeldung mit 'Login canceled' oder einem ähnlichen Fehler scheitert.
Ein Benutzer sich erfolgreich anmeldet, aber das falsche Benutzerkonto erhält.
Field Mappings die erwarteten Claim-Werte nicht extrahieren.
Empfohlenes Vorgehen
Der schnellste Weg, SSO-Claims zu untersuchen:
Erfassen Sie das Token aus dem OIDC-Callback in Ihrem Browser.
Dekodieren Sie das Token in einem JWT-Viewer wie jwt.io.
Gleichen Sie das Ergebnis mit den Anmeldeprotokollen des Identity Providers ab.
Die folgenden Abschnitte beschreiben jede Methode im Detail.
Methode 1: Token im Browser untersuchen
Browser zeigen JWT-Inhalte nicht direkt an. Sie erfassen das Token stattdessen aus dem Netzwerkverkehr.
Vorgehensweise:
Öffnen Sie in Ihrem Browser die Entwicklertools, in der Regel mit F12.
Wechseln Sie zum Tab Network. Aktivieren Sie Preserve log.
Lösen Sie eine SSO-Anmeldung in der LDP aus.
Sobald der IdP zur LDP zurückleitet, suchen Sie nach einem Request an die Callback URL.
Das Token erscheint als
id_tokenoderaccess_token. Suchen Sie im URL-Fragment, im Query-String oder im Request-Body.Kopieren Sie das Token. Es ist ein langer String mit zwei Punkten im Format
header.payload.signature.Fügen Sie das Token in einen JWT-Viewer wie jwt.io ein, um die Claims zu decodieren.
WICHTIG Produktions-Token niemals in öffentliche Web-Tools einfügen
Ein JWT enthält identifizierende Informationen über den Benutzer. Fügen Sie Token von Produktionsbenutzern nicht in öffentliche Web-Tools ein. Verwenden Sie für sensible Token einen lokalen JWT-Viewer. Viele Code-Editoren und Kommandozeilenwerkzeuge bieten eine Offline-JWT-Dekodierung.
Methode 2: Anmeldeprotokolle des Identity Providers prüfen
Der Identity Provider protokolliert jeden Authentifizierungsversuch. Das IdP-seitige Protokoll zeigt, welche Claims ausgestellt wurden.
Für Azure (Entra ID):
Öffnen Sie das Microsoft Azure-Portal.
Navigieren Sie zu Microsoft Entra ID → Sign-in logs.
Suchen Sie den fehlgeschlagenen oder unerwarteten Anmeldeeintrag.
Öffnen Sie den Eintrag. Die Token-Details und ausgestellten Claims erscheinen unter den entsprechenden Tabs.
Konsultieren Sie für andere Identitätsanbieter deren Administrationskonsole.
Methode 3: Log-Level im Server-Logging erhöhen
Die Plattform verfügt über ein Server-Logging-Modul. Sie können den Log-Level für den SystemManager erhöhen, der die Authentifizierung verarbeitet. Das erleichtert die Suche nach SSO-bezogenen Einträgen in den Protokollen.
Vorgehensweise:
Öffnen Sie Server Logging.
Wechseln Sie zum Tab Log Settings.
Suchen Sie den SystemManager, der die Authentifizierung verarbeitet.
Erhöhen Sie dessen Log-Level.
Reproduzieren Sie die SSO-Anmeldung.
Prüfen Sie die resultierenden Protokolleinträge.
Setzen Sie den Log-Level anschließend zurück, um unnötige Protokolleinträge zu vermeiden.
Methode 4: Lobster-Support-Modus verwenden
Für eine tiefgehende Fehleranalyse kann der Lobster Support ein Passwort für den Support Mode bereitstellen. Dieser schaltet eine erweiterte Debug-Ausgabe frei.
Vorgehensweise:
Öffnen Sie About Lobster.
Klicken Sie auf Support Mode.
Geben Sie das vom Lobster Support bereitgestellte Passwort ein.
Verwenden Sie diese Methode nur, wenn Sie direkt mit dem Lobster Support an einem konkreten Problem arbeiten.