Bu dokümanda, servis sağlayıcı Google iken, SAML tabanlı tek oturum açma (TOA) özelliğinin Google Workspace ile entegrasyonu veya kullanımı sırasında karşılaşabileceğiniz hata mesajlarının çözümüne yönelik talimatlar sunulmuştur.
Yapılandırma ve etkinleştirme
"Bu alan adı, tek oturum açma özelliğini kullanacak şekilde yapılandırılmamış."Bu hata genellikle, tek oturum açma özelliğini G Suite'in Standart (Ücretsiz) Sürümü ile kullanmaya çalıştığınızı gösterir. TOA'yı destekleyen bir Google Workspace sürümü kullandığınızdan eminseniz kimlik sağlayıcınızdaki yapılandırmayı kontrol ederek Google Workspace alan adınızı doğru girdiğinizden emin olun.
Profilleri kullanarak TOA ayarlarını yaptıktan sonra bu hatayla karşılaşırsanız IdP'niz, böyle olmamasına rağmen muhtemelen kuruluşunuz için TOA profili kullandığınızı varsayar. Bu durumda, IdP TOA profili ayarlarınız yalnızca bu ayarlardan kuruluşunuz için TOA profilini yapılandırmak üzere yararlanıyorsanız kullanılabilir.
Bu hata, Google Yönetici konsolunda TOA'yı doğru bir şekilde ayarlamadığınızı gösterir. Bu durumu düzeltmek için aşağıdaki adımları inceleyin:
- Yönetici Konsolu'nda Güvenli Üçüncü taraf bir IdP ile tek oturum açma (TOA) ayarlarını yapın'a gidin ve Üçüncü taraf kimlik sağlayıcı ile TOA ayarlarını yap'ı işaretleyin.
- Kuruluşunuzun oturum açma, oturumu kapatma ve şifre değiştirme sayfalarının URL'lerini ilgili alanlara girin.
- Geçerli bir doğrulama sertifikası dosyası seçin ve yükleyin.
- Kaydet'i tıklayın, yaptığınız değişikliklerin geçerlilik kazanması için birkaç dakika bekleyin, ardından entegrasyonunuzu tekrar test edin.
SAML Yanıtını Ayrıştırma
"Gerekli yanıt parametresi SAMLResponse eksikti"Bu hata mesajı, Kimlik Sağlayıcınızın Google'a bu türde geçerli bir SAML yanıtı sağlamadığını gösterir. Bu sorunun en olası nedeni Kimlik Sağlayıcı'daki bir yapılandırma sorunudur.
- Kimlik Sağlayıcı günlüklerinizi kontrol edin ve SAML Yanıtı döndürmesini engelleyen bir şey olmadığından emin olun.
- Kimlik sağlayıcınızın Google Workspace hizmetine şifrelenmiş bir SAML yanıtı göndermediğinden emin olun. Google Workspace yalnızca şifrelenmemiş SAML yanıtlarını kabul eder. Özellikle Microsoft Active Directory Federasyon Hizmetleri 2.0 sürümünün, varsayılan yapılandırmalarda genellikle şifrelenmiş SAML yanıtları gönderdiğini unutmayın.
SAML 2.0 spesifikasyonu, kimlik sağlayıcıların, kaynak sağlayıcılardan (ör. Google Workspace) bir RelayState URL parametresi almasını ve bunu geri göndermesini gerektirir. Google Workspace, bu değeri SAML isteğinde kimlik sağlayıcıya sunar. İçerikler ise her girişte bazı farklılıklara sahip olabilir. Kimlik doğrulamanın başarıyla tamamlanması için RelayState, SAML Yanıtında tamamen aynı şekilde döndürülmelidir. SAML standart spesifikasyonuna göre Kimlik Sağlayıcınız, giriş akışı sırasında RelayState parametresinde değişiklik yapmamalıdır.
- Bir oturum açma girişimi sırasında HTTP üstbilgilerini yakalayarak bu sorunu daha kapsamlı bir şekilde inceleyin. RelayState parametresini SAML İsteği ve Yanıtıyla birlikte HTTP üstbilgilerinden çıkartın ve hem İstek hem de Yanıttaki RelayState değerlerinin birbiriyle aynı olmasını sağlayın.
- Piyasadaki ticari veya açık kaynaklı TOA Kimlik Sağlayıcıların çoğu RelayState parametresini varsayılan olarak sorunsuz şekilde iletmektedir. En ileri düzeyde güvenlik ve güvenilirlik açısından bu mevcut çözümlerden birini kullanmanızı öneriyor ve kendi TOA yazılımınız için destek sunamadığımızı hatırlatmak istiyoruz.
SAML Yanıtının İçerikleri
"Giriş isteğiniz geçersiz [hedef|kitle|alıcı] bilgisi içerdiğinden bu hizmete erişilemiyor. Lütfen giriş yapıp tekrar deneyin."Bu hata, SAML Onaylama işleminde hedef, kitle veya alıcı öğelerinin geçersiz bilgi içerdiğini ya da boş olduğunu belirtir. SAML onaylama işlemine her iki öğenin de dahil edilmesi zorunludur. Her bir öğeyle ilgili açıklamalar ve örnekler için aşağıdaki tabloyu inceleyin.
Öğe | <Audience> |
---|---|
Açıklama | Hedeflenen kitleyi tanımlayan URI'dır ve ACS URI değerini gerektirir. Not: Öğe değeri boş olamaz. |
Gerekli Değer | https://www.google.com/a/<example.com>/acs |
Örnek |
<saml:Conditions NotBefore="2014-11-05T17:31:37Z" |
Öğe | <StatusResponseType> türündeki Destination özelliği |
---|---|
Açıklama | SAML onayının gönderildiği yerin URI'si. İsteğe bağlıdır, ancak belirtilmesi durumunda bir ACS URI değeri sağlanması gerekir. |
Gerekli Değer | https://www.google.com/a/<example.com>/acs |
Örnek |
<saml:Response |
Öğe | <SubjectConfirmationData> öğesinin Recipient özelliği |
---|---|
Açıklama |
|
Gerekli Değer | https://www.google.com/a/<example.com>/acs |
Örnek |
<saml:Subject> |
Gerekli tüm öğelerle ilgili ayrıntılar için lütfen TOA onayı gereksinimleri başlıklı makaleyi inceleyin.
Bu hata genellikle Kimlik Sağlayıcınızdan gelen SAML Yanıtında okunabilir bir Recipient değeri olmadığı (veya Recipient değerinin yanlış olduğu) anlamına gelir. Recipient değeri, SAML Yanıtının önemli bir bileşenidir.
- Bir oturum açma girişimi sırasında HTTP üstbilgilerini yakalayarak bu sorunu daha kapsamlı bir şekilde inceleyin.
- HTTP üstbilgilerinden SAML İsteğini ve Yanıtını çıkartın.
- SAML Yanıtında Recipient değerinin mevcut olduğundan ve bu değerin SAML Yanıtındaki değerle aynı olduğundan emin olun.
Not: Bu hata mesajı şu şekilde de görüntülenebilir: "Giriş isteğiniz geçersiz alıcı bilgileri içerdiği için bu hizmete erişilemiyor. Lütfen giriş yapıp tekrar deneyin."
Bu hata, kimlik doğrulama akışını imzalamak için kullandığınız sertifikalarda bir sorun olduğunu gösterir. Bu genellikle, SAML yanıtını imzalamak için kullanılan özel anahtarın, Google Workspace kayıtlarında olan ortak anahtar sertifikasıyla eşleşmediği anlamına gelir.
SAML yanıtınız geçerli bir Google Hesapları kullanıcı adı içermediğinde de bu hatayı alabilirsiniz. Google Workspace, NameID adındaki XML öğesi için SAML yanıtını ayrıştırır ve bu öğenin bir Google Workspace kullanıcı adı veya tam Google Workspace e-posta adresi içermesini bekler.
- Google Workspace hizmetine geçerli bir sertifika yüklediğinizden emin olun ve gerekiyorsa bu sertifikayı değiştirin. Google Yönetici Konsolu'nda Güvenlik Üçüncü taraf kimlik sağlayıcı ile TOA ayarlarını yap seçeneğine gidin ve Sertifikayı değiştir'i tıklayın.
- NameID öğenizde tam e-posta adresi kullanıyorsanız (birden çok alan adına sahip bir Apps ortamında TOA kullanıyorsanız tam e-posta adresi kullanıyor olmanız gerekir), NameID öğesinin Format özelliğinin tam e-posta adresinin kullanılacağını belirttiğinden emin olun. Örnek: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
- NameID öğesini geçerli bir kullanıcı adı veya e-posta adresiyle doldurduğunuzdan emin olun. Emin olmak için Google Workspace hizmetine gönderdiğiniz SAML yanıtını açıp NameID öğesinin değerini kontrol edin.
- NameID, büyük/küçük harfe duyarlıdır: SAML yanıtının NameID'yi, Google Workspace kullanıcı adı veya e-posta adresinin büyük/küçük harf kullanımıyla eşleşen bir değerle doldurduğundan emin olun.
- Kimlik sağlayıcınız SAML onaylama işleminizi şifreliyorsa bu şifrelemeyi devre dışı bırakın.
- SAML yanıtının standart olmayan ASCII karakterleri içermediğinden emin olun. Bu sorun en sık, AttributeStatement öğesindeki DisplayName, GivenName ve Surname özelliklerinde görülür. Örneğin:
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Bülbül, Ela</AttributeValue> </Attribute> - <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Bülbül</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
NameID öğesinin nasıl biçimlendirileceği hakkında daha fazla bilgi edinmek için TOA onayı gereksinimleri bölümüne bakın.
Güvenlikle açısından TOA giriş akışının belirli bir zaman aralığı içinde tamamlanması gerekir. Aksi takdirde kimlik doğrulama başarısız olur. Kimlik Sağlayıcınızdaki saat doğru değilse oturum açma girişimlerinin çoğu veya tümü, kabul edilebilir zaman aralığının kapsamı dışında görünür ve kimlik doğrulama, yukarıdaki hata iletisiyle başarısız olur.
- Kimlik Sağlayıcınızın sunucusunda saati kontrol edin. Bu hata hemen hemen her zaman, Kimlik Sağlayıcı saatinin yanlış olmasından kaynaklanır. Bu da, SAML Yanıtına yanlış zaman damgalarının eklenmesine neden olur.
- Kimlik Sağlayıcı sunucu saatini, güvenilir bir internet saat sunucusu ile yeniden senkronize edin. Bir üretim ortamında bu sorun aniden meydana gelirse, nedeni büyük olasılıkla senkronizasyonun başarısız olmasıdır; bu da, sunucu saatinin yanlış olmasına neden olur. Saat senkronizasyonunun tekrar edilmesiyle (mümkünse daha güvenilir bir saat sunucusu ile) bu sorun çok kısa sürede çözülecektir.
- Bu sorun aynı zamanda, SAML'yi daha önceki bir oturum açma girişiminden yeniden gönderdiğinizde de meydana gelir. SAML İsteğinizi ve Yanıtınızı (oturum açma girişimi sırasında yakalanan HTTP üstbilgi günlüklerinden elde edilen) incelemeniz, bu hatanın daha iyi ayıklanmasına yardımcı olur.
Güvenlikle açısından TOA giriş akışının belirli bir zaman aralığı içinde tamamlanması gerekir. Aksi takdirde kimlik doğrulama başarısız olur. Kimlik Sağlayıcınızdaki saat doğru değilse oturum açma girişimlerinin çoğu veya tümü, kabul edilebilir zaman aralığının kapsamı dışında görünür ve kimlik doğrulama, yukarıdaki hata iletisiyle başarısız olur.
- Kimlik Sağlayıcınızın sunucusunda saati kontrol edin. Bu hata hemen hemen her zaman, Kimlik Sağlayıcı saatinin yanlış olmasından kaynaklanır. Bu da, SAML Yanıtına yanlış zaman damgalarının eklenmesine neden olur.
- Kimlik Sağlayıcı sunucu saatini, güvenilir bir internet saat sunucusu ile yeniden senkronize edin. Bir üretim ortamında bu sorun aniden meydana gelirse, nedeni büyük olasılıkla senkronizasyonun başarısız olmasıdır; bu da, sunucu saatinin yanlış olmasına neden olur. Saat senkronizasyonunun tekrar edilmesiyle (mümkünse daha güvenilir bir saat sunucusu ile) bu sorun çok kısa sürede çözülecektir.