У цій статті пояснюється, як виправити поширені помилки, що можуть виникати під час інтеграції або використання Системи єдиного входу (SSO) на основі SAML у Google Workspace, якщо Google є постачальником послуг.
Налаштування конфігурації і активація
"Цей домен не налаштовано на використання Системи єдиного входу".Зазвичай ця помилка вказує на те, що ви намагаєтеся використати SSO зі стандартною (безкоштовною) версією G Suite, яка не підтримує таку можливість. Якщо ви впевнені, що використовуєте версію Google Workspace, яка підтримує роботу Системи єдиного входу, перевірте конфігурацію свого постачальника ідентифікаційної інформації, щоб переконатися, що ви правильно ввели доменне ім’я Google Workspace.
Якщо ця помилка виникла після налаштування Системи єдиного входу за допомогою профілів, імовірно, ваш постачальник ідентифікаційної інформації неправильно припустив, що ви використовуєте профіль SSO для своєї організації. У такому разі налаштування профілю вашого постачальника можна використовувати лише для налаштування профілю вашої організації.
Ця помилка означає, що ви неправильно налаштували Систему єдиного входу в Консолі адміністратора Google. Щоб виправити її, виконайте наведені нижче вказівки.
- У Консолі адміністратора перейдіть у розділ Безпека
Налаштування Системи єдиного входу (SSO) за допомогою стороннього постачальника ідентифікаційної інформації і поставте прапорець Налаштувати Систему єдиного входу за допомогою стороннього постачальника ідентифікаційної інформації.
- Укажіть URL-адреси сторінок входу, виходу й зміни пароля вашої організації у відповідних полях.
- Виберіть і завантажте файл із дійсним сертифікатом підтвердження.
- Натисніть Зберегти, зачекайте кілька хвилин, поки ваші зміни почнуть діяти, і спробуйте ввійти знову.
Налаштування Системи єдиного входу (SSO) за допомогою стороннього постачальника ідентифікаційної інформації і поставте прапорець Налаштувати Систему єдиного входу за допомогою стороннього постачальника ідентифікаційної інформації.Синтаксичний аналіз відповідей SAML
"Відсутній обов’язковий параметр відповіді SAMLResponse".Це повідомлення про помилку вказує на те, що ваш постачальник ідентифікаційної інформації не надає Google потрібної відповіді SAML. Найчастіше це пов’язано з помилками конфігурації в постачальника.
- Перевірте журнали постачальника ідентифікаційної інформації і переконайтеся, що ніщо не заважає правильному надсиланню відповідей SAML.
- Переконайтеся, що ваш постачальник ідентифікаційної інформації не шифрує відповіді SAML, коли надсилає їх у Google Workspace. Google Workspace приймає ці відповіді лише в незашифрованому вигляді. Зокрема, зверніть увагу, що сервіс Microsoft Active Directory Federation Services 2.0 часто надсилає зашифровані відповіді SAML у межах конфігурації за умовчанням.
У специфікації SAML версії 2.0 зазначено, що постачальник ідентифікаційної інформації отримує значення параметра URL-адреси RelayState від постачальника ресурсів (наприклад, Google Workspace) і повертає його цьому постачальнику. Google Workspace надає значення постачальнику ідентифікаційної інформації в запиті SAML. Це значення може змінюватися щоразу під час входу. Для успішного завершення відповідь SAML має містити точне значення параметра RelayState. Відповідно до стандартної специфікації SAML, постачальник ідентифікаційної інформації не повинен змінювати значення RelayState під час входу.
- Щоб з’ясувати причину проблеми, зафіксуйте заголовки HTTP під час спроби входу. Вилучіть значення параметра RelayState із заголовків HTTP запиту й відповіді SAML, а потім переконайтеся, що ці значення збігаються.
- Більшість постачальників ідентифікаційної інформації для комерційних і безкоштовних систем єдиного входу за умовчанням передають точне значення параметра RelayState. Щоб досягти максимального рівня безпеки й надійності, рекомендуємо використати одне з уже наявних рішень. Ми не підтримуємо програмне забезпечення для систем єдиного входу, розроблене користувачами.
Зміст відповідей SAML
"Цей сервіс недоступний, оскільки ваш запит на вхід містив недійсну інформацію [destination|audience|recipient]. Увійдіть у систему й повторіть спробу".Ця помилка означає, що елементи destination, audience чи recipient у твердженні SAML містять недійсні дані або значення для них не вказані. Усі ці елементи повинні бути включені у твердження SAML. Опис і приклади для кожного елемента можна переглянути в наведеній нижче таблиці.
| Елемент | <Audience> |
|---|---|
| Опис | URI визначає цільову аудиторію, якій потрібне значення ACS URI. Примітка. Це поле не може бути порожнім. |
| Обов’язкове значення | https://google.com/a/<example.com>/acs |
| Приклад |
<saml:Conditions NotBefore="2014-11-05T17:31:37Z" |
| Елемент | Атрибут Destination типу <StatusResponseType> |
|---|---|
| Опис | URI, за допомогою якого надсилається твердження SAML. Цей атрибут необов’язковий, але якщо його задано, потрібно вказати значення URI ACS. |
| Обов’язкове значення | https://google.com/a/<example.com>/acs |
| Приклад |
<saml:Response |
| Елемент | Атрибут Recipient типу <SubjectConfirmationData> |
|---|---|
| Опис |
|
| Обов’язкове значення | https://google.com/a/<example.com>/acs |
| Приклад |
<saml:Subject> |
Щоб отримати докладні відомості про всі обов’язкові елементи, перегляньте статтю Вимоги до тверджень для Системи єдиного входу (SSO).
Ця помилка зазвичай означає, що у відповіді SAML вашого постачальника ідентифікаційної інформації відсутнє чітке значення Recipient (або його вказано неправильно). Значення Recipient є важливим елементом відповіді SAML.
- Щоб з’ясувати причину проблеми, зафіксуйте заголовки HTTP під час спроби входу.
- Вилучіть запит і відповідь SAML із заголовків HTTP.
- Переконайтеся, що у відповіді SAML є значення Recipient і воно збігається з відповідним значенням у запиті SAML.
Примітка. Коли виникає помилка, також може відображатися таке повідомлення: "Цей сервіс недоступний, оскільки ваш запит на вхід містить недійсну інформацію про одержувача. Увійдіть у систему й повторіть спробу".
Ця помилка вказує на проблему із сертифікатами, які ви використовуєте для автентифікації. Зазвичай це означає, що секретний ключ, який використовується для підпису відповіді SAML, не відповідає сертифікату загальнодоступного ключа в системі Google Workspace.
Помилка також може статися, коли відповідь SAML не містить дійсного імені користувача облікового запису Google. У системі Google Workspace з відповідей SAML виділяється XML-елемент, що має назву NameID. Він повинен містити ім’я користувача Google Workspace або його повну електронну адресу Google Workspace.
- Переконайтеся, що ви завантажили дійсний сертифікат у Google Workspace. За потреби його можна замінити. У Консолі адміністратора Google перейдіть у розділ Безпека
- Якщо ви вказали повну електронну адресу в елементі NameID (цей формат обов’язковий для Системи єдиного входу в багатодоменному середовищі додатків), переконайтеся, що значення атрибута Format в елементі NameID визначає, що має використовуватися повна електронна адреса. Наприклад: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
- Переконайтеся, що елемент NameID містить дійсне ім’я або електронну адресу користувача. Для цього вилучіть відповідь SAML, яку ви надсилаєте в Google Workspace, і перевірте значення елемента NameID.
- Для елемента NameID враховується регістр. Переконайтеся, що з відповіді SAML в елементі підставляється ім’я користувача Google Workspace або його електронна адреса з урахуванням регістру.
- Якщо ваш постачальник ідентифікаційної інформації шифрує твердження SAML, вимкніть шифрування.
- Переконайтеся, що відповідь SAML не містить нестандартних символів ASCII. Ця помилка зазвичай виникає в атрибутах DisplayName, GivenName і Surname в AttributeStatement. Наприклад:
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue> </Attribute> - <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
Щоб дізнатися більше про те, як форматувати елемент NameID, перегляньте статтю Вимоги до тверджень для Системи єдиного входу (SSO).
З міркувань безпеки вхід у SSO повинен виконуватися протягом певного періоду часу, інакше автентифікація не відбудеться. Якщо у вашого постачальника ідентифікаційної інформації встановлено неправильний час, більшість спроб входу не потраплятимуть у потрібний період. У такому разі з’явиться повідомлення про помилку, наведене вище.
- Перевірте годинник на сервері постачальника ідентифікаційної інформації. Через помилки в його налаштуванні відповідь SAML містить неточні позначки часу.
- Повторно синхронізуйте годинник на сервері постачальника з надійним джерелом в Інтернеті. Коли така проблема раптово виникає в робочому середовищі, зазвичай це пов’язано зі збоєм під час синхронізації, і тому час на сервері стає неточним. Повторна синхронізація часу (можливо, з більш надійного сервера) може швидко вирішити цю проблему.
- Помилка може також виникнути, якщо ви повторно надсилаєте відповідь SAML, яка використовувалася під час попередньої спроби входу. Для налаштування перевірте запити й відповіді SAML (їх можна знайти в журналах заголовків HTTP, указаних під час останнього входу).
З міркувань безпеки вхід у SSO повинен виконуватися протягом певного періоду часу, інакше автентифікація не відбудеться. Якщо у вашого постачальника ідентифікаційної інформації встановлено неправильний час, більшість спроб входу не потраплятимуть у потрібний період. У такому разі з’явиться повідомлення про помилку, наведене вище.
- Перевірте годинник на сервері постачальника ідентифікаційної інформації. Через помилки в його налаштуванні відповідь SAML містить неточні позначки часу.
- Повторно синхронізуйте годинник на сервері постачальника з надійним джерелом в Інтернеті. Коли така проблема раптово виникає в робочому середовищі, зазвичай це пов’язано зі збоєм під час синхронізації, і тому час на сервері стає неточним. Повторна синхронізація часу (можливо, з більш надійного сервера) може швидко вирішити цю проблему.
