最佳实践

• SAML 授权仅仅在有限的时间进行校验。你需要确定运行你的应用的计算机时间与 IdP 的时间是同步的。
• 如果你应用中的用户和用户组是通过用户目录进行配置的，你通常希望用户来源目录和你的 IdP 和 Atlassian 应用使用相同的 LDAP 目录。用户需要在用户目录支中存在才可以使用 SSO 进行登录。

故障排除

• 如果你错误的配置了 SAML 收取，或者不能登录到你的 IdP。你可以通过删除请求来让你的登录授权恢复（在你用户目录中为一个管理员用户配置使用一个用户名和密码）。

  curl -u admin_user:admin_password -X DELETE http://base-url/product/rest/authconfig/1.0/saml

• 如果授权有错误发生，用户将只能看到基本的错误信息。基于安全的考虑，有关错误的具体信息将不会显示，你需要检查应用程序的日志来找到错误发生的具体原因和问题是什么。
• 在一些情况下，你可能看到你的 IdP 显示错误信息。在这种情况下，你需要一些 IdP 的诊断工具来确定你的 IdP 的问题，这方面问题的解决 Atlassian 不提供相关的服务。
• 当使用 使用 SAML 为主授权（Use SAML as primary authentication）同时你还有有验证码被启用的话，使用 HTTP 的基本授权（例如在 REST 资源调用）可能将用户锁定，如果用户输入的错误用户名和密码信息次数太多的话。在这种情况下，需要一个系统管理进入后台重新设置用户登录错误次数的计数。

https://www.cwiki.us/display/CONFLUENCEWIKI/SAML+SSO+for+Confluence+Data+Center