В этой статье объясняется, как исправить возможные ошибки при интеграции и использовании системы единого входа на базе SAML в Google Workspace, если Google является поставщиком услуг.
Конфигурация и активация
"Конфигурация этого домена не позволяет использовать единый набор реквизитов".Эта ошибка обычно указывает на то, что вы пытаетесь использовать систему единого входа в бесплатной (стандартной) версии G Suite, в которой эта возможность недоступна. Если вы уверены, что используете версию Google Workspace с поддержкой единого входа, проверьте конфигурацию поставщика идентификационной информации, чтобы убедиться, что вы правильно ввели доменное имя Google Workspace.
Если эта ошибка произошла после настройки системы единого входа с использованием профилей, вероятно, ваш поставщик идентификационной информации ошибочно предположил, что вы используете профиль системы единого входа для вашей организации. В таком случае настройки профиля вашего поставщика идентификационной информации можно использовать только для настройки профиля вашей организации.
Эта ошибка указывает, что вы не настроили систему единого входа в консоли администратора Google надлежащим образом. Чтобы исправить ошибку, выполните следующие действия:
- В консоли администратора Google откройте раздел БезопасностьНастройка системы единого входа с использованием стороннего поставщика идентификационной информации и установите флажок Настроить систему единого входа со сторонним поставщиком идентификационной информации.
- Укажите URL для страниц входа, выхода и изменения пароля в соответствующих полях.
- Выберите и загрузите файл действительного проверочного сертификата.
- Нажмите Сохранить, подождите пару минут, пока выбранные настройки не будут применены в системе, и попробуйте войти ещё раз.
Когда URL страницы входа в систему SSO для iOS-приложений начинается с "google." или похожего домена, приложение Google для iOS открывается в браузере Safari. В результате происходит ошибка входа в SSO. По этой причине перечисленные ниже префиксы использовать нельзя:
- googl.
- google.
- www.googl.
- www.google.
Все URL страницы единого входа с такими префиксами нужно изменить.
Анализ ответов SAML
"Отсутствует обязательный параметр ответа SAMLResponse".Это сообщение указывает на то, что поставщик услуг аутентификации не предоставил Google соответствующий ответ SAML. В большинстве случаев это связано с ошибками в конфигурации у поставщика.
- Проверьте журналы поставщика и убедитесь, что ничего не препятствует правильной отправке ответов SAML.
- Убедитесь, что ваш поставщик идентификационной информации не шифрует ответы SAML при их отправке в Google Workspace. Google Workspace принимает эти данные только в незашифрованном виде. В частности, обратите внимание, что служба Microsoft Active Directory Federation Services 2.0 по умолчанию отправляет зашифрованные ответы SAML.
В спецификации для SAML 2.0 указано, что поставщик идентификационной информации получает значение параметра URL RelayState от поставщика ресурса (например, Google Workspace) и отправляет его обратно. Google Workspace предоставляет это значение поставщику идентификационной информации в запросе SAML, и оно может изменяться при каждом входе. Для успешного завершения аутентификации в ответе SAML должно содержаться точное значение параметра RelayState. Согласно спецификации стандарта SAML, поставщик услуг аутентификации не должен изменять значение RelayState в процессе входа.
- Чтобы установить причину проблемы, зафиксируйте заголовки HTTP при попытке входа. Извлеките значение RelayState из заголовков HTTP запроса и ответа SAML, а затем убедитесь, что эти значения совпадают.
- Большинство поставщиков услуг аутентификации для коммерческих и бесплатных систем единого входа по умолчанию передают точное значение RelayState. Чтобы добиться максимального уровня безопасности и надежности, мы рекомендуем использовать уже существующие решения и не поддерживаем системы единого входа, разработанные пользователями.
Содержание ответов SAML
"Невозможно получить доступ к службе, так как запрос на вход содержал недопустимые данные ([destination|audience|recipient]). Войдите в систему и повторите попытку".Эта ошибка указывает на то, что элементы destination, audience или recipient в выражении SAML содержат недопустимые данные или значения для них не указаны. Все эти элементы должны быть включены в утверждение SAML. Ознакомьтесь с приведенными ниже таблицами в требованиях к утверждениям системы единого входа, в которых приведены описания и примеры для каждого элемента:
Эта ошибка обычно указывает на то, что в ответе SAML поставщика идентификационной информации отсутствует распознаваемое значение Recipient или оно указано неправильно. Значение Recipient – важный элемент ответов SAML.
- Чтобы установить причину проблемы, зафиксируйте заголовки HTTP при попытке входа.
- Извлеките запрос и ответ SAML из заголовков HTTP.
- Убедитесь, что в ответе SAML есть значение Получатель, которое совпадает с аналогичным значением в запросе SAML.
Примечание. При возникновении этой ошибки также может появляться сообщение "К этой службе невозможно получить доступ, поскольку ваш запрос на вход содержит неверную информацию о получателе. Войдите и повторите попытку."
Эта ошибка указывает на проблему с сертификатами, которые вы используете для аутентификации. Как правило, это значит, что закрытый ключ, используемый для подписи ответа SAML, не соответствует сертификату открытого ключа в системе Google Workspace.
Ошибка также может означать, что в ответе SAML не содержится действительное имя пользователя аккаунта Google. В системе Google Workspace из ответов SAML выделяется XML-элемент NameID, который должен содержать имя пользователя Google Workspace или полный адрес электронной почты пользователя Google Workspace.
- Убедитесь, что вы загрузили в Google Workspace действительный сертификат. Если необходимо, замените его. В консоли администратора Google откройте раздел БезопасностьНастройка системы единого входа с использованием стороннего поставщика идентификационной информации и нажмите Заменить сертификат.
- Если вы указываете полный адрес электронной почты в элементе NameID (такой формат обязателен для системы единого входа в многодоменной среде Google Workspace), убедитесь, что значение атрибута Format элемента NameID предписывает использовать полный адрес. Пример: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
- Элемент NameID должен содержать действительное имя пользователя или адрес электронной почты. Чтобы проверить NameID, извлеките ответ SAML, который вы отправляете в Google Workspace, и обратите внимание на содержащееся в нем значение.
- Регистр букв имеет значение. Убедитесь, что из ответа SAML для элемента NameID выделяется имя пользователя Google Workspace или адрес электронной почты с учетом регистра.
- Если ваш поставщик идентификационной информации шифрует подтверждения SAML, отключите шифрование.
- Убедитесь, что в ответе SAML не используются нестандартные символы ASCII. Эта ошибка обычно возникает в атрибутах DisplayName, GivenName и Surname в AttributeStatement. Например:
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue> </Attribute> - <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
Более подробную информацию о формате элемента NameID можно найти в требованиях к утверждениям системы единого входа.
По соображениям безопасности вход в системе SSO должен выполняться за определенное время, иначе произойдет сбой аутентификации. Если у вашего поставщика услуг аутентификации время установлено неправильно, большинство попыток входа не будет вписываться в необходимый интервал. В таком случае появится указанное выше сообщение об ошибке.
- Проверьте часы на сервере поставщика услуг аутентификации. Из-за ошибок в их настройке ответ SAML содержит неверные временные метки.
- Синхронизируйте часы на сервере поставщика с надежным источником в интернете. Если подобная ошибка неожиданно происходит в уже работающей системе, она обычно связана со сбоем синхронизации, в результате которого время на сервере становится неточным. Быстро решить эту проблему поможет повторная синхронизация с сервером точного времени (желательно – более надежным).
- Кроме того, эта ошибка может возникнуть при повторной отправке ответа SAML, использовавшегося для предыдущей попытки входа. Для отладки проверьте запросы и ответы SAML (их можно найти в журналах заголовков HTTP, зафиксированных во время последнего входа).
По соображениям безопасности вход в системе SSO должен выполняться за определенное время, иначе произойдет сбой аутентификации. Если у вашего поставщика услуг аутентификации время установлено неправильно, большинство попыток входа не будет вписываться в необходимый интервал. В таком случае появится указанное выше сообщение об ошибке.
- Проверьте часы на сервере поставщика услуг аутентификации. Из-за ошибок в их настройке ответ SAML содержит неверные временные метки.
- Синхронизируйте часы на сервере поставщика с надежным источником в интернете. Если подобная ошибка неожиданно происходит в уже работающей системе, она обычно связана со сбоем синхронизации, в результате которого время на сервере становится неточным. Быстро решить эту проблему поможет повторная синхронизация с сервером точного времени (желательно более надежным).