7.身份管理和认证项目常见问题解答_V1.2

admin管理员组

文章数量:1535373

2024年2月11日发(作者：)

中国石油天然气集团公司

信息系统用户身份管理与认证项目

用户常见问题解答

中国石油用户身份管理与认证项目组

2011年7月

目 录

第1章

第2章

名词解释 ............................................................................................................... 4

用户常见问题解答 ................................................................................................ 4

2.1.

ESSO登录异常问题 ............................................................................................. 4

2.1.1.

通用检查项 ..................................................................................................... 4

2.1.2.

插入key，没有弹出PIN码输入框 .................................................................. 5

2.1.3.

对于vpn用户登录的解决方法： ..................................................................... 6

2.1.4.

双击AA打不开AA的登陆框 .......................................................................... 6

2.1.5.

Windows 脚本编制主机或该主机已损坏......................................................... 7

2.1.6.

输入正确pin 码,弹出意外错误........................................................................ 8

2.1.7.

上次关机未拔出USBKey，登入时出现空白页面 ............................................ 9

2.1.8.

用户不能使用域名登录.................................................................................. 10

2.1.9.

Windows7下，用户成功单点登录后，弹出IAMkeymonitor通信失败的提示10

2.1.10.

登录时显示有多人的证书可供选择，检查IE是否缓存过其他证书？ ............ 10

2.1.11.

Win7系统点击应用图标登录ERP后，菜单栏被遮挡 ................................... 10

2.1.12.

密码同步 ....................................................................................................... 12

2.2.

自映射问题 ......................................................................................................... 12

2.2.1.

自映射操作校验应用帐号和密码失败后，如何处理？ ................................... 12

2.2.2.

用户自映射一个工作日后，登录身份认证平台，看不到已映射系统的图标。 12

2.2.3.

自映射应用系统校验用户名和密码成功后，还是不能单点登录应用系统。 ... 13

2.2.4.

在已映射信息系统列表中显示邮件系统图标，点击出现提示页面，告知用户修改密码。 ..................................................................................................................... 13

2.2.5.

同一应用系统有两个帐号，已自映射成功其中一个，还有一个帐号如何处理 13

2.2.6.

用户通过IAM平台第一次访问应用系统前，是否需要进行自映射？ ............. 13

2.3.

PKI相关问题 ...................................................................................................... 13

2.3.1.

提示非本系统用户，无法登录 ....................................................................... 13

2.3.2.

没有员工编号的人员制作证书 ....................................................................... 14

2.3.3.

无法识别USBKey ......................................................................................... 14

2.3.4.

USBKey丢失后如何处理？ .......................................................................... 14

2.3.5.

RA系统管理员变更，如何操作？ ................................................................. 15

2.3.6.

制做新证书失败 ............................................................................................ 15

2.3.7.

与捷德KEY冲突 .......................................................................................... 15

2.3.8.

与IPAD充电软件冲突 .................................................................................. 15

2.4.

日常使用问题处理方法： .................................................................................... 15

2.4.1.

请在出现“受Windows系统保护”的计算机上， ..................... 15

尝试以下操作： .............................................................................................................. 15

2.4.2.

ERP系统口令不代填问题： ......................................................................... 16

2.4.3.

安装补丁出现问题： ..................................................................................... 16

2.4.4.

登录ERP系统报错： ................................................................................... 17

2.4.5.

输入PIN码登录IAM系统失败： .................................................................. 17

第1章 名词解释

 用户：普通用户、IAM管理员用户、RA管理员用户

 SSO：单点登录，即一次认证后登录列表中所有应用系统

 E-SSO：身份管理与统一认证平台桌面单点登录软件，为C/S模式的应用系统提供单点登录服务

 IAM：身份管理与统一认证平台 /

 PKI：公钥基础设施 :8080/

 RA：PKI子系统

 RA代理点：为地区公司用户发放数字证书的虚拟机构

 PIN码：USBKey密码

注：本文档主要用于描述普通用户登录出现的问题及解决方法。

第2章 用户常见问题解答

2.1. ESSO登录异常问题

2.1.1. 通用检查项

 是否曾经成功登录过

成功登录过的用户，重点从“中国石油USBKey用户工具”（包括USBKey驱动和IAM控件）和IE设置等个人电脑相关方面排查问题，具体参考以下通用检查项；

未成功登录过的用户，根据用户反映的具体情况查找相应章节。

 检查是否已正确安装USBKey工具和IAM控件：

检查用户桌面是否已出现两个宝石花图标；使用“中国石油USBKey用户工具”中的“一键恢复”功能查看所有项是否正常。

IAM控件会在桌面生成一个快捷方式，即单点登录访问地址(/)。用户可在“开始菜单”中查看是否有“中国石油USBKey用户工具”文件夹，若包含“中国石油身份管理与认证平台客户端V1.72卸

载”即表示安装成功。

 驱动是否为最新发布版本：

截至目前最新版本是“3.4.0.1”，打开“中国石油USBKey用户工具”能看到“工具版本”的版本号。

 检查Smart Card服务

进入“控制面板”——管理工具——服务——Smart Card，是否为启动状态和自动启动类型。

安装完成USBKey驱动后，在计算机服务中会有‘Smart card’这个服务。

装有360杀毒软件的电脑，360里的开机加速，一键优化会将此服务禁掉。如果此服务被禁用，插入USBkey后将无法识别。

浏览器相关设置：

 将IE浏览器中“工具-Internet选项-连接-局域网设置”勾选“跳过本地地址的代理服务器”。

 将IE浏览器中“工具-Internet选项-连接-局域网设置-代理服务器-高级-不使用代理服务器”的例外中填写“10.*;*.cnpc”。

 设置Internet安全性属性，“工具-Internet选项-安全-本地Intranet-站点-高级”中添加“*.”；并且将“该区域的安全级别”调整为“中低”；IE 8“工具-Internet选项-安全-本地Intranet”中不能勾选“启用保护模式”。

 目前只支持IE浏览器，暂不支持火狐等其他浏览器。

若不能解决，请联系技术人员并提交问题，提交具体问题时请告知管理员用户姓名、员工编号、员工单位，并将问题截屏发送管理员邮箱（sfrz_iam@），与系统运维人员沟通针对问题的解决方案。

2.1.2. 插入key，没有弹出PIN码输入框

故障现象：插入key后，没有自动弹出PIN码输入框

解决方法：

（1） 检查操作系统是否为XP SP2，如果是XP SP2，需要先安装“”补丁

（2） 检查网络连接

ping ，是否能ping通；返回的IP应该是10.27.140.187

（3） 检查主机名是否为中文，如果是中文，改为标准的英文机器名

（4） 检查计算机隶属于“域”还是“工作组”，如果是隶属“域”，请先修改为隶属于“工作组”，组名称只能是英文（最好改为WORKGROUP），然后重启计算机。

（5） 如果问题还没有解决，卸载AccessAgent，重启windows，再重新安装AccessAgent

2.1.3. 对于vpn用户登录的解决方法：

由于新VPN用户没有要求强制用key登录（即不插key也可以登录），所以请和用户说明：开机后，请不要插key，登录vpn之后再插key。

请注意处理过程（处理方法针对内网用户也有效）：

请用户登录VPN，老VPN在任务栏会显示一个A,新VPN在任务栏会显示SVN。

（1） ping 确定是否可以返回10.27.140.187的正确地址。（VPN用户ping返回超时为正常情况）

（2） telnet 443 确定是否有权限访问身份认证系统。

（3） 请用户拔key，然后运行5k3s里面的kill_,将esso所有进程和服务都杀掉。

（4） 删除C:Program FilesEncentuateCryptoboxes 里面的所有文件

（5） 将all_sync_data_ 里面的两个xml文件替换到C:Program

FilesEncentuate

（6） 运行start_,等待esso重启完毕。

（7） 让用户重新插key尝试登录。

至此，一般用户都可进行正常登录。若还有用户不弹pin，请运行里面的pin_让他强行弹框（慎用）。

另外，在处理过程中，若用户是新vpn用户，请随时关注VPN是否超时（新VPN超时时间为20分钟左右），具体表现为，Ping 可ping通且返回的为外网地址。如果有些用户登录vpn之后ping ，返回的就是外网地址，请在命令行里运行ipconfig /flushdns将dns清空再继续操作。

若遇到VPN不能正常登录，请让他们直接拨打84882903联系VPN项目组

2.1.4. 双击AA打不开AA的登陆框

操作步骤如下 : 我的电脑-->管理-->服务

找到如下两个服务

ObsService

SOCIAccess 这两服务是否启动

没有启动右击服务启动即可，如果是手动请改成自动；

2.1.5. Windows 脚本编制主机或该主机已损坏

安装过程中出现如下错误:

需要安装Windows scripts组件（系统补丁文件名称为）

如果提示已经安装，不能重复安装的时候，需要手工注册相关dll和ocx文件

、、、、、、

（如果用户的windows操作系统安装在c:windows目录中，可以使用下面的脚本进行dll文件的注册）

scripten-注册

2.1.6. 输入正确pin 码,弹出意外错误

问题如下图

解决方法：

（1） 请用户拔key，然后运行5k3s里面的kill_,将esso所有进程和服务都杀掉；

（2） 运行start_,等待esso重启完毕，请用户插key登录。

2.1.7. 启动Obsservice服务后，计算机很慢

故障现象：

启动Obsservice服务后，CPU占用率很高，计算机响应速度非常慢.

解决方法：

检查是否安装了Inter rapid storage technology软件，如果已安装，请在“控制面板”—“添加删除程序”中卸载这个软件，然后重启Obsservice服务（或者重启计算机）

2.1.8. 上次关机未拔出USBKey，登入时出现空白页面

答：告知用户拔出USBKey，关闭默认的浏览器；然后重新插入USBKey，再打开统一身份管理与认证平台（/）。

2.1.9. 用户不能使用域名登录

答：告知用户修改hosts文件（无任何后缀）：使用记事本打开“C:WindowsSystem32driversetc”下的hosts文件，在文件末尾添加一条记录“10.27.140.122 ”，并保存退出。

2.1.10. Windows7下，用户成功单点登录后，弹出IAMkeymonitor通信失败的提示

答：这个涉及用户帐号控制（UAC）的调整；用户需要进入“控制面板”——系统和安全——操作中心——更改用户帐号控制设置；然后将级别调整到“从不通知”，即可避免该提示信息。

2.1.11. 登录时显示有多人的证书可供选择，检查IE是否缓存过其他证书？

答：打开“工具-Internet选项-内容-证书-个人”，去掉IE缓存中多余的证书即可。

2.1.12. Win7系统点击应用图标登录ERP后，菜单栏被遮挡

ERP系统通过IAM平台成功登录后，IE9 的界面显示会出现，最小化和关闭按钮不起作用的问题。如下图所示问题：

（1） 如要关闭SAP页面，可点SAP系统中的按钮，“系统”-“退出登录”。具体如下图所示：

或者:

（2） 找到C:Program FilesSAPFrontEnd 文件夹下的文件，点击右键，找到‘属性’；

将‘禁用桌面元素’前打勾，如图所示：

2.1.13. 密码同步

邮件帐号

如果用户已在IAM平台完成邮件系统帐号自映射（即：该用户在IAM平台页面上能看到邮件系统的图标），在通过自助服务界面修改密码后，将会同步修改邮件系统帐号/口令，以及所有使用邮件系统帐号/口令进行认证的应用系统帐号/口令。

若没有在IAM平台上对使用邮件帐号/口令进行认证系统的帐号自映射，则不会同步修改邮件系统帐号/口令。

其他系统帐号

如果用户已在IAM平台完成其他系统帐号（包括：HR系统、化工销售ERP系统等不使用邮件系统帐号/口令进行认证的系统）自映射（即：该用户在IAM平台页面上能看到应用系统的图标），则用户在通过自助服务界面修改密码后，将会同步修改这些系统的帐号/口令。

2.2. 自映射问题

2.2.1. 自映射操作校验应用帐号和密码失败后，如何处理？

答：请用户联系该应用系统管理员解决，确认自己的帐号是否就有效或未处于锁定状态。

2.2.2. 用户自映射一个工作日后，登录身份认证平台，看不到已映射系统的图标。

答：用户映射的帐号非本人帐号或由于其他原因，映射请求被驳回。请联系管理员或重新映射。

2.2.3. 自映射应用系统校验用户名和密码成功后，还是不能单点登录应用系统。

答：告知用户下一个工作日登录；若还存在该问题，则需要联系身份管理项目组解决，并提供用户姓名、员工编号、所在单位。

2.2.4. 在已映射信息系统列表中显示邮件系统图标，点击出现提示页面，告知用户修改密码。

答： 用户通过已有信息系统列表首次访问邮件系统，是不能直接打开邮件系统界面的，需要用户点击页面右侧的“自助服务”按钮进行密码修改，密码修改成功后请再次通过已映射信息系统列表进入邮件系统，此时该邮件系统帐号及其他使用该邮件帐号的应用系统帐号密码都会被用户同步更改。

2.2.5. 同一应用系统有两个帐号，已自映射成功其中一个，还有一个帐号如何处理

答：目前阶段只开放一个用户在同一应用系统中对应一个帐号的自映射功能。

2.2.6. 用户通过IAM平台第一次访问应用系统前，是否需要进行自映射？

答：应用系统中已经存在的帐号必须进行自映射操作，在电子审批流程开通后新增的用户不需要再做自映射。

2.3. PKI相关问题

2.3.1. 提示非本系统用户，无法登录

答：登录者所用的Key没有权限登录RA系统，请使用具有RA管理员权限的Key登录。

2.3.2. 没有员工编号的人员制作证书

答：如确定此用户为外部人员，提交外部用户帐号申请和证书申请，此申请表及相关说明可到IAM平台登录页面下载。

对于没有员工编号的内部人员（新员工），到人力资源部门咨询，待生成员工编号后再向数字证书管理员申请证书。如用户急需使用USBkey，可以为其创建外部用户。

2.3.3. 无法识别USBKey

答：

1) 驱动安装错误

 查看设备管理器中通用串行总线控制器，WatchKey Virtual Reader是否正常；

2) 驱动已安装

 WIN7系统首次使用USBKey时，USB口识别较慢，需等识别后再查看；

 打开管理工具，使用一键修复查看相应服务是否启用，如未启用，则进行修复；

 一键修复无法完成时，在计算机管理中的“服务”项中检查SmartCard服务是否启动，如未启动则手动启动，并添加到开机启动项中；

 WIN7系统需要使用管理员打开管理工具；

 被360安全卫士禁止启动的Smart Card服务无法通过一键修复恢复启动，必须通过360开启。

2.3.4. USBKey丢失后如何处理？

答：USBKey设备丢失后如确定无法找到，则向管理员提出补办证书的申请，如此用户为ERP系统用户，需将此用户的信息报知身份认证项目组。要求各RA管理员严格按照PKI组下发的管理规范执行。

2.3.5. RA系统管理员变更，如何操作？

RA有5个管理员：权限管理员、审计管理员、录入员、审核员和制证员，只有权限管理员变更要找身份认证项目组。其他管理员变更，各RA代理点可自行进行权限变更处理。

2.3.6. 制做新证书失败

如果有新Key制证失败，先在RA系统中格式化制证失败的USBKey然后再重新制证；

如仍不能制证，请使用管理员工具进行格式化，不要把有证书的Key格掉。

以上两种办法都无法解决时，请将其作为坏Key记录，并定期反馈给项目组。

2.3.7. 与捷德KEY冲突

如发生与捷德USBKey冲突的问题，请将原捷德驱动卸载，先安装身份认证的USBKey驱动，再重新安装捷德的驱动；（一般财务人员使用）

2.3.8. 与IPAD充电软件冲突

用户电脑已安装IPAD充电软件的将无法正常安装USBKey驱动，先安装驱动再安装IPAD充电软件将会导致驱动不可用。

解决方法：

（1） 用户卸载充电软件；

（2） 申请新Key并及时下载安装最新驱动，有些单位没有，需要联系身份管理与认证项目组申请（序列号在 8000500000之后的是新Key）

2.4. 日常使用问题处理方法：

2.4.1. 请在出现“受Windows系统保护”的计算机上，

尝试以下操作：

在控制面板添加删除程序中将windows更新KB9554559移除

（卸载后，最好重启计算机）

然后再重新安装TAM E-SSO AccessAgent.

2.4.2. ERP系统口令不代填问题：

IE9 通过IAM登录ERP系统时，会下载口令代填的小软件，如果在下载时弹出迅雷下载提示框，请做以下处理，点击“Internet选项”-“程序”-“管理加载项”，找到如图所示的迅雷加载部分，点击禁用，重启下IE，再使用。如下图：

2.4.3. 安装补丁出现问题：

如出现下图提示问题，需要个人计算机装一个微软的KB971737的补丁, 然后再装发给用户的那个SP2补丁.

2.4.4. 登录ERP系统报错：

此问题为SAP安装软件有问题，需要将SAP logon进行修复或者重装。

2.4.5. 输入PIN码登录IAM系统失败：

有些电脑查Ukey弹PIN框正常，登录IAM平台输入PIN框也正常，但是却无法打开IAM界面，提示如下图所示：

解决办法：将电脑上的所有网页都关闭，然后在插UKey按原步骤进行登陆。

原因：有时需要先登录上ESSO，再打开网页，否则报错。

2.5. 补充内容：

2.5.1. 点击ERP应用系统图标，提示如下图：

原因：为安装SAP客户端；

解决方法：安装SAP客户端，如安装的客户端为640或700，请注意补丁级别；

2.5.2. 某些用户登录IAM系统时“提示证书用户，请点击按钮登录”

如果查询此用户已生成主帐号，IE里也有证书，且同一台电脑插上其他的人Key马上就可以登录。

解决方法：请局级管理员登录IAM平台，将此人设置成IAM用户，然后再取消IAM用户；

2.5.3. 用户之前登录正常，但当天报“证书用户，请点击按钮登录”的问题

在排查主帐号，IE里是否有证书后，如仍不能解决问题，可看一下证书是否有效，如提示证书无效，查看一下用户电脑的系统时间，用户电脑时间被改为了2010年的某个时间，导致证书不在有效期范围内，无法正常登录。

2.5.4. 部分使用IE6的用户会出现无法下载.jsp文件的问题，

如下图：

解决办法：将IE6升级。

2.5.5. win7的机器，装ie9，key可以登陆esso，但是不能登陆iam平台，显示网络问题

如下图：

原因：

1、把加到ie的受限站点了；

2、360应该是改过ie的一些设置；

解决方法：

1、 将加到ie可信任站点中（如下图）；

2、 重置IE；

2.5.6. 制证员制证过程中报错“格式化usbkey[初始化token失败<000000a4>”时，按以下步骤解决：

a) 使用RA系统里的格式化功能，将空Key格式化，再重新制证；

b) 如仍报错，使用管理员工具里的格式化功能将空Key格式化，再重新制证（千万不要将管理员的Key格式化，如不能确定是哪个key，可把管理员key拔掉再格式化）；

c) 如仍报错，则等待第二天电脑重启后再重新制证；

d) 上述所有办法都不能解决时，将此key作为坏key记录。

本文标签： 用户系统登录帐号问题