[Документация Yandex Cloud](../../../index.md) > [Все решения](../../index.md) > [Identity and Access Management](../index.md) > Устранение ошибки `Response is invalid in a general way` при авторизации через SAML-провайдер

# Устранение ошибки `Response is invalid in a general way` при авторизации через SAML-провайдер


## Описание проблемы {#issue-description}

После настройки аутентификации через SAML-провайдер (Keycloak, Okta и др.) при попытке входа отображается ошибка:

```
type=Bad Request, status=400, 
"Response is invalid in a general way"
"The assertion was not valid"
```

Ошибка означает, что  AML-ответ от IdP пришел, но  Identity Hub не смог его проверить или разобрать.

Чаще всего причина — несовпадение ACS URL, проблемы с подписью  или некорректная конфигурация на стороне IdP.

## Решение {#issue-resolution}

1. Убедитесь, что домен вашего IdP доступен из сети с сервисом, на котором проводится аутентификация.
   Если домен недоступен или заблокирован, SAML-ответ может не дойти до Yandex Cloud или быть изменен по пути.
   Для проверки выполните команду:

   ```
   curl -I https://<ДОМЕН_ВАШЕГО_IDP>/ 
   ```

2. Проверьте, что URL получения ответа (ACS URL), указанный в настройках IdP, совпадает с URL, указанным в Консоли управления.
   В нем должен быть указан правильный протокол (`https://`), домен и путь, в конце URL не должно быть дополнительного слэша.

    {% cut "Как получить ACS URL федерации" %}

    1. Войдите в сервис [Yandex Identity Hub](https://kz.center.yandex.cloud/organization).
    
    1. На панели слева выберите ![VectorSquare](../../../_assets/console-icons/vector-square.svg) **Федерации**.
    
    1. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля **ACS URL**.

    {% endcut %}

3. Проверьте, включена ли подпись SAML-ответа (или `assertion`, в зависимости от используемого IdP-провайдера)

4. Проверьте, что сертификат на стороне IdP-провайдера валиден и у него не истек срок действия. Yandex Cloud принимает только SAML-ответы с действительной цифровой подписью.
   Если сертификат был перевыпущен и заменен на стороне IdP, его обязательно нужно загрузить заново в Консоли управления.

5. После каждого изменения конфигурации IdP выполните новую попытку входа (старый SAML-ответ повторно использовать не получится).

## Если проблема осталась {#if-issue-still-persists}

Если вышеописанные действия не помогли решить проблему, [создайте запрос в техническую поддержку](https://kz.center.yandex.cloud/support). При создании запроса укажите следующую информацию:

1. Полный текст ошибки — как отображается в браузере (можно скриншот);
2. [HAR-файл](../../../support/create-har.md), записанный во время воспроизведения проблемы.
   Обратите внимание: нужно начать запись сеанса в браузере **до** выполнения тех действий, которые приводят к ошибке.
   Запись сразу после появления ошибки запись лучше сразу же остановить, чтобы в него не попали лишние данные;
3. Перед отправкой удалите из HAR-файла конфиденциальные данные.
   - Браузерные cookies;
   - Oauth-токены;
   - Персональные данные в SAML-ответе.

   HAR-файл можно открыть в любом текстовом редакторе, данные в нем предоставлены в JSON-формате.
4. Скриншоты настроек SAML на стороне IdP:
   * Название IdP и его версию (Keycloak, Okta, ADFS или какой-либо другой);
   * ACS URL;
   * Cвойства сертификата (наличие подписи, валидность и т.д..);
   * Список маппящихся атрибутов SSO-пользователей на стороне IdP (email, role и др.).