이 문서에서는 Google이 서비스 제공업체(SP)인 경우 SAML 기반 싱글 사인온(SSO)을 Google Workspace와 통합하거나 사용할 때 발생할 수 있는 일반적인 오류 메시지를 해결하는 절차를 설명합니다.
설정 및 활성화
'해당 도메인은 싱글 사인온(SSO)을 사용하도록 구성되지 않았습니다.'이 오류는 일반적으로 싱글 사인온(SSO)이 지원되지 않는 G Suite Standard 버전(무료)에 싱글 사인온(SSO)을 사용하려고 시도했음을 나타냅니다. SSO를 지원하는 Google Workspace 버전을 사용 중인 경우 ID 공급업체의 구성을 확인하여 Google Workspace 도메인 이름을 올바르게 입력했는지 확인하세요.
프로필을 사용하여 SSO를 설정한 후에 이 오류가 발생하는 경우, 조직에 SSO 프로필을 사용하고 있다고 IdP에서 잘못 가정하고 있을 가능성이 높습니다. 이 경우 IdP SSO 프로필 설정을 사용하여 조직에 SSO 프로필을 구성하는 경우에만 이 프로필 설정을 사용할 수 있습니다.
이 오류는 Google 관리 콘솔에서 SSO를 올바르게 설정하지 않았음을 나타냅니다. 문제를 해결하려면 다음 단계를 검토하세요.
- 관리 콘솔에서 보안
타사 IdP를 사용해 싱글 사인온(SSO) 설정으로 이동한 다음 타사 ID 공급업체를 통해 SSO 설정을 선택합니다.
- 조직의 로그인 페이지, 로그아웃 페이지, 비밀번호 변경 페이지의 URL을 해당 입력란에 입력합니다.
- 유효한 확인 인증서 파일을 선택하여 업로드합니다.
- '저장'을 클릭하고 변경사항이 반영될 때까지 잠시 기다린 다음 통합되었는지 다시 테스트합니다.
타사 IdP를 사용해 싱글 사인온(SSO) 설정으로 이동한 다음 타사 ID 공급업체를 통해 SSO 설정을 선택합니다.SAML 응답 파싱
'필요한 응답 매개변수 SAMLResponse가 누락되었습니다.'이 오류는 ID 제공업체에서 유효한 종류의 SAML 응답을 Google에 제공하지 않았음을 나타냅니다. 이는 대부분 ID 제공업체의 구성 문제로 인해 발생합니다.
- ID 공급업체 로그를 확인하여 SAML 응답을 제대로 반환하지 못하게 하는 문제가 있는지 확인하시기 바랍니다.
- ID 제공업체가 Google Workspace에 암호화된 SAML 응답을 보내지 않는지 확인해야 합니다. Google Workspace는 암호화되지 않은 SAML 응답만 허용합니다. 특히 Microsoft의 Active Directory Federation Services 2.0은 기본 설정 시 암호화된 SAML 응답을 보내는 경우가 많습니다.
SAML 2.0 사양에서는 ID 공급업체가 Google Workspace와 같은 리소스 제공업체로부터 RelayState URL 매개변수를 받고 다시 반환해야 합니다. Google Workspace에서는 SAML 요청을 통해 이 값을 ID 공급업체에 제공하며 정확한 콘텐츠는 로그인할 때마다 다를 수 있습니다. 인증을 제대로 완료하려면 정확한 RelayState 값이 SAML 응답에서 반환되어야 합니다. SAML 표준 사양에 따르면 ID 공급업체는 로그인 중에 RelayState를 수정해서는 안 됩니다.
- 로그인 시 HTTP 헤더를 캡처하여 이 문제를 좀 더 자세히 진단합니다. SAML 요청 및 응답의 HTTP 헤더에서 RelayState를 추출한 뒤 요청과 응답의 RelayState 값이 일치하는지 확인합니다.
- 대부분의 상업용 또는 오픈소스 SSO ID 제공업체는 기본적으로 RelayState를 원활하게 전송합니다. Google에서는 최상의 보안과 안정성을 위해 이러한 기존 솔루션 중 하나를 사용할 것을 권장하며 맞춤형 SSO 소프트웨어에 대한 지원은 제공하지 않습니다.
SAML 응답의 내용
'로그인 요청에 올바르지 않은 [destination|audience|recipient] 정보가 포함되어 서비스에 액세스할 수 없습니다. 로그인한 후 다시 시도해 보세요.'이 오류는 SAML Assertion의 destination, audience 또는 recipient 요소에 잘못된 정보가 포함되거나 비어 있음을 나타냅니다. 모든 요소는 SAML Assertion에 포함되어야 합니다. 각 요소에 대한 설명과 예는 다음 표에서 확인하세요.
| 요소 | <Audience> |
|---|---|
| 설명 | URI로 ACS URI 값이 필요한 해당 Audience를 식별합니다. 참고: 요소 값은 비워둘 수 없습니다. |
| 필수 값 | https://www.google.com/a/<example.com>/acs |
| 예 |
<saml:Conditions NotBefore="2014-11-05T17:31:37Z" |
| 요소 | <StatusResponseType> 유형의 Destination 속성 |
|---|---|
| 설명 | SAML Assertion이 전송되는 URI입니다. 선택사항이지만 선언된 경우 ACS URI의 값이 필요합니다. |
| 필수 값 | https://www.google.com/a/<example.com>/acs |
| 예 |
<saml:Response |
| 요소 | <SubjectConfirmationData>의 Recipient 속성 |
|---|---|
| 설명 |
|
| 필수 값 | https://www.google.com/a/<example.com>/acs |
| 예 |
<saml:Subject> |
필요한 모든 요소에 대한 자세한 내용은 SSO Assertion 요구사항 문서를 검토하세요.
이 오류는 ID 공급업체의 SAML 응답에 읽을 수 있는 Recipient 값이 없거나 Recipient 값이 정확하지 않음을 나타냅니다. Recipient 값은 SAML 응답의 중요한 구성요소입니다.
- 로그인 시 HTTP 헤더를 캡처하여 이 문제를 좀 더 자세히 진단합니다.
- SAML 요청 및 응답을 HTTP 헤더에서 추출합니다.
- SAML 응답에 수신자 값이 있어야 하며 SAML 요청에 있는 값과 일치해야 합니다.
참고: 이 오류 메시지는 '로그인 요청에 잘못된 수신자 정보가 포함되어 있어 서비스에 액세스할 수 없습니다. 로그인한 후 다시 시도해 보세요.'로 표시되기도 합니다.
이 오류는 인증 절차에 서명할 때 사용하는 인증서에 문제가 있음을 나타냅니다. 일반적으로 SAML 응답에 서명하는 데 사용한 비공개 키가 Google Workspace에서 보관하는 공개키 인증서와 일치하지 않음을 의미합니다.
SAML 응답에 유효한 Google 계정 사용자 이름이 포함되지 않은 경우에도 발생할 수 있습니다. Google Workspace에서는 NameID라는 XML 요소를 찾기 위해 SAML 응답을 파싱하며 이 요소에 Google Workspace 사용자 이름 또는 전체 Google Workspace 이메일 주소가 포함되어 있는지 확인합니다.
- Google Workspace에 유효한 인증서를 업로드했는지 확인하고 필요한 경우 인증서를 교체합니다. Google 관리 콘솔에서 보안
- NameID 요소에서 전체 이메일 주소를 사용하는 경우(멀티도메인 Apps 환경에서 SSO를 사용하는 경우에 해당), NameID 요소의 Format 속성에 전체 이메일 주소를 사용하도록 지정해야 합니다(예: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress").
- NameID 요소에 유효한 사용자 이름 또는 이메일 주소를 입력했는지 확인합니다. 문제가 발생하지 않게 하려면 Google Workspace로 전송하는 SAML 응답을 추출하여 NameID 요소의 값을 확인하세요.
- NameID는 대소문자를 구분합니다. SAML 응답에서 NameID는 Google Workspace 사용자 이름 또는 이메일 주소의 대소문자와 일치하는 값으로 채워져야 합니다.
- ID 공급업체가 SAML Assertion을 암호화하는 경우 암호화를 사용 중지합니다.
- SAML 응답에 비표준 ASCII 문자가 포함되어 있지 않은지 확인합니다. 이 문제는 AttributeStatement의 DisplayName, GivenName, Surname 속성에서 가장 흔히 발생합니다.
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue> </Attribute> - <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
NameID 요소의 형식을 지정하는 방법에 대한 자세한 내용은 SSO Assertion 요구사항을 참고하세요.
보안상의 이유로 SSO 로그인 절차는 일정 시간 내에 완료되어야 하며, 그렇지 않은 경우 인증에 실패합니다. ID 제공업체의 시계가 정확하지 않은 경우 거의 대부분 또는 모든 로그인 시도가 제한된 시간을 초과한 것으로 표시되며 위의 오류 메시지가 표시되면서 인증에 실패합니다.
- ID 공급업체 서버에서 시계를 확인하세요. 이 오류는 ID 제공업체 시계가 잘못되어 SAML 응답에 잘못된 타임스탬프를 추가했기 때문에 표시될 가능성이 매우 높습니다.
- ID 제공업체 서버 시계를 신뢰할 수 있는 인터넷 시간 서버와 다시 동기화합니다. 프로덕션 환경에서 이 문제가 갑자기 발생하는 경우 일반적으로 마지막 실행한 시간 동기화가 실패했기 때문이며, 이는 서버 시간이 부정확해지는 원인이 됩니다. 더 신뢰할 수 있는 시간 서버와 시간을 다시 동기화하면 이 문제를 신속하게 해결할 수 있습니다.
- 이 문제는 이전 로그인 시도에서 SAML을 재전송하는 경우에도 발생할 수 있습니다. 로그인 시도 중에 캡처한 HTTP 헤더 로그에서 얻은 SAML 요청과 응답을 검사하면 이 문제를 디버그하는 데 도움이 될 수 있습니다.
보안상의 이유로 SSO 로그인 절차는 일정 시간 내에 완료되어야 하며, 그렇지 않은 경우 인증에 실패합니다. ID 제공업체의 시계가 정확하지 않은 경우 거의 대부분 또는 모든 로그인 시도가 제한된 시간을 초과한 것으로 표시되며 위의 오류 메시지가 표시되면서 인증에 실패합니다.
- ID 공급업체 서버에서 시계를 확인하세요. 이 오류는 ID 제공업체 시계가 잘못되어 SAML 응답에 잘못된 타임스탬프를 추가했기 때문에 표시될 가능성이 매우 높습니다.
- ID 제공업체 서버 시계를 신뢰할 수 있는 인터넷 시간 서버와 다시 동기화합니다. 프로덕션 환경에서 이 문제가 갑자기 발생하는 경우 일반적으로 마지막 실행한 시간 동기화가 실패했기 때문이며, 이는 서버 시간이 부정확해지는 원인이 됩니다. 더 신뢰할 수 있는 시간 서버와 시간을 다시 동기화하면 이 문제를 신속하게 해결할 수 있습니다.
