Устранение неполадок системы единого входа

В этой статье объясняется, как исправить возможные ошибки при интеграции и использовании системы единого входа на базе SAML в Google Workspace, если Google является поставщиком услуг.

Конфигурация и активация

"Конфигурация этого домена не позволяет использовать единый набор реквизитов".

Эта ошибка обычно указывает на то, что вы пытаетесь использовать систему единого входа в бесплатной (стандартной) версии G Suite, в которой эта возможность недоступна. Если вы уверены, что используете версию Google Workspace с поддержкой единого входа, проверьте конфигурацию поставщика идентификационной информации, чтобы убедиться, что вы правильно ввели доменное имя Google Workspace.

Если эта ошибка произошла после настройки системы единого входа с использованием профилей, вероятно, ваш поставщик идентификационной информации ошибочно предположил, что вы используете профиль системы единого входа для вашей организации. В таком случае настройки профиля вашего поставщика идентификационной информации можно использовать только для настройки профиля вашей организации.

"Этот аккаунт недоступен, так как домен настроен неправильно. Повторите попытку позже".

Эта ошибка указывает, что вы не настроили систему единого входа в консоли администратора Google надлежащим образом. Чтобы исправить ошибку, выполните следующие действия:

  1. В консоли администратора Google откройте раздел Безопасность>Настройка системы единого входа с использованием стороннего поставщика идентификационной информации и установите флажок Настроить систему единого входа со сторонним поставщиком идентификационной информации.
  2. Укажите URL для страниц входа, выхода и изменения пароля в соответствующих полях.
  3. Выберите и загрузите файл действительного проверочного сертификата.
  4. Нажмите Сохранить, подождите пару минут, пока выбранные настройки не будут применены в системе, и попробуйте войти ещё раз.
Для клиента Google указан запрещенный префикс

Когда URL страницы входа в систему SSO для iOS-приложений начинается с "google." или похожего домена, приложение Google для iOS открывается в браузере Safari. В результате происходит ошибка входа в SSO. По этой причине перечисленные ниже префиксы использовать нельзя:

  • googl.
  • google.
  • www.googl.
  • www.google.

Все URL страницы единого входа с такими префиксами нужно изменить.

Анализ ответов SAML

"Отсутствует обязательный параметр ответа SAMLResponse".

Это сообщение указывает на то, что поставщик услуг аутентификации не предоставил Google соответствующий ответ SAML. В большинстве случаев это связано с ошибками в конфигурации у поставщика.

  • Проверьте журналы поставщика и убедитесь, что ничего не препятствует правильной отправке ответов SAML.
  • Убедитесь, что ваш поставщик идентификационной информации не шифрует ответы SAML при их отправке в Google Workspace. Google Workspace принимает эти данные только в незашифрованном виде. В частности, обратите внимание, что служба Microsoft Active Directory Federation Services 2.0 по умолчанию отправляет зашифрованные ответы SAML.
"Отсутствует обязательный параметр ответа RelayState".

В спецификации для SAML 2.0 указано, что поставщик идентификационной информации получает значение параметра URL RelayState от поставщика ресурса (например, Google Workspace) и отправляет его обратно. Google Workspace предоставляет это значение поставщику идентификационной информации в запросе SAML, и оно может изменяться при каждом входе. Для успешного завершения аутентификации в ответе SAML должно содержаться точное значение параметра RelayState. Согласно спецификации стандарта SAML, поставщик услуг аутентификации не должен изменять значение RelayState в процессе входа.

  • Чтобы установить причину проблемы, зафиксируйте заголовки HTTP при попытке входа. Извлеките значение RelayState из заголовков HTTP запроса и ответа SAML, а затем убедитесь, что эти значения совпадают.
  • Большинство поставщиков услуг аутентификации для коммерческих и бесплатных систем единого входа по умолчанию передают точное значение RelayState. Чтобы добиться максимального уровня безопасности и надежности, мы рекомендуем использовать уже существующие решения и не поддерживаем системы единого входа, разработанные пользователями.

Содержание ответов SAML

"Невозможно получить доступ к службе, так как запрос на вход содержал недопустимые данные ([destination|audience|recipient]). Войдите в систему и повторите попытку".

Эта ошибка указывает на то, что элементы destination, audience или recipient в выражении SAML содержат недопустимые данные или значения для них не указаны. Все эти элементы должны быть включены в утверждение SAML. Ознакомьтесь с приведенными ниже таблицами в требованиях к утверждениям системы единого входа, в которых приведены описания и примеры для каждого элемента:

"К этой службе невозможно получить доступ, поскольку ваш запрос на вход не содержит информации о получателе. Войдите и повторите попытку".

Эта ошибка обычно указывает на то, что в ответе SAML поставщика идентификационной информации отсутствует распознаваемое значение Recipient или оно указано неправильно. Значение Recipient – важный элемент ответов SAML.

  1. Чтобы установить причину проблемы, зафиксируйте заголовки HTTP при попытке входа.
  2. Извлеките запрос и ответ SAML из заголовков HTTP.
  3. Убедитесь, что в ответе SAML есть значение Получатель, которое совпадает с аналогичным значением в запросе SAML.

Примечание. При возникновении этой ошибки также может появляться сообщение "К этой службе невозможно получить доступ, поскольку ваш запрос на вход содержит неверную информацию о получателе. Войдите и повторите попытку."

"Этот аккаунт недоступен, так как не удалось подтвердить ваши реквизиты".

Эта ошибка указывает на проблему с сертификатами, которые вы используете для аутентификации. Как правило, это значит, что закрытый ключ, используемый для подписи ответа SAML, не соответствует сертификату открытого ключа в системе Google Workspace.

Ошибка также может означать, что в ответе SAML не содержится действительное имя пользователя аккаунта Google. В системе Google Workspace из ответов SAML выделяется XML-элемент NameID, который должен содержать имя пользователя Google Workspace или полный адрес электронной почты пользователя Google Workspace.

  • Убедитесь, что вы загрузили в Google Workspace действительный сертификат. Если необходимо, замените его. В консоли администратора Google откройте раздел Безопасность>Настройка системы единого входа с использованием стороннего поставщика идентификационной информации и нажмите Заменить сертификат.
  • Если вы указываете полный адрес электронной почты в элементе NameID (такой формат обязателен для системы единого входа в многодоменной среде Google Workspace), убедитесь, что значение атрибута Format элемента NameID предписывает использовать полный адрес. Пример: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
  • Элемент NameID должен содержать действительное имя пользователя или адрес электронной почты. Чтобы проверить NameID, извлеките ответ SAML, который вы отправляете в Google Workspace, и обратите внимание на содержащееся в нем значение.
  • Регистр букв имеет значение. Убедитесь, что из ответа SAML для элемента NameID выделяется имя пользователя Google Workspace или адрес электронной почты с учетом регистра.
  • Если ваш поставщик идентификационной информации шифрует подтверждения SAML, отключите шифрование.
  • Убедитесь, что в ответе SAML не используются нестандартные символы ASCII. Эта ошибка обычно возникает в атрибутах DisplayName, GivenName и Surname в AttributeStatement. Например:
    • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
      <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
    • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
      <AttributeValue>Blüte</AttributeValue> </Attribute>

Более подробную информацию о формате элемента NameID можно найти в требованиях к утверждениям системы единого входа.

"Эта служба недоступна, так как срок действия ваших реквизитов истек. Войдите в систему и повторите попытку".

По соображениям безопасности вход в системе SSO должен выполняться за определенное время, иначе произойдет сбой аутентификации. Если у вашего поставщика услуг аутентификации время установлено неправильно, большинство попыток входа не будет вписываться в необходимый интервал. В таком случае появится указанное выше сообщение об ошибке.

  • Проверьте часы на сервере поставщика услуг аутентификации. Из-за ошибок в их настройке ответ SAML содержит неверные временные метки.
  • Синхронизируйте часы на сервере поставщика с надежным источником в интернете. Если подобная ошибка неожиданно происходит в уже работающей системе, она обычно связана со сбоем синхронизации, в результате которого время на сервере становится неточным. Быстро решить эту проблему поможет повторная синхронизация с сервером точного времени (желательно – более надежным).
  • Кроме того, эта ошибка может возникнуть при повторной отправке ответа SAML, использовавшегося для предыдущей попытки входа. Для отладки проверьте запросы и ответы SAML (их можно найти в журналах заголовков HTTP, зафиксированных во время последнего входа).
"К этой службе невозможно получить доступ, поскольку ваши реквизиты для входа ещё недействительны. Войдите и повторите попытку".

По соображениям безопасности вход в системе SSO должен выполняться за определенное время, иначе произойдет сбой аутентификации. Если у вашего поставщика услуг аутентификации время установлено неправильно, большинство попыток входа не будет вписываться в необходимый интервал. В таком случае появится указанное выше сообщение об ошибке.

  • Проверьте часы на сервере поставщика услуг аутентификации. Из-за ошибок в их настройке ответ SAML содержит неверные временные метки.
  • Синхронизируйте часы на сервере поставщика с надежным источником в интернете. Если подобная ошибка неожиданно происходит в уже работающей системе, она обычно связана со сбоем синхронизации, в результате которого время на сервере становится неточным. Быстро решить эту проблему поможет повторная синхронизация с сервером точного времени (желательно более надежным).

Эта информация оказалась полезной?

Как можно улучшить эту статью?
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
4761106384075242338
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false