En este documento se describen los pasos para resolver los errores más frecuentes que se producen al integrar o usar el inicio de sesión único (SSO) basado en SAML con Google Workspace cuando Google es el proveedor de servicios.
Configuración y activación
"Este dominio no está configurado para utilizar el inicio de sesión único"Este error suele indicar que estás intentando usar el inicio de sesión único con una edición gratuita antigua de G Suite, que no admite esta función. Si tienes la certeza de que estás utilizando una edición de Google Workspace que admite el inicio de sesión único, comprueba en la configuración de tu proveedor de identidades que el nombre de tu dominio de Google Workspace se ha introducido correctamente.
Si ves este error después de configurar el SSO con perfiles, es probable que tu proveedor de identidades presupone que estás usando el perfil de SSO de tu organización. De ser así, la configuración del perfil de SSO del proveedor de identidades solo se podrá utilizar si la configuras para tu organización.
Este error indica que no has configurado correctamente el inicio de sesión único en la consola de administración de Google. Para corregirlo, sigue estos pasos:
- En la consola de administración, ve a Seguridad Configurar el inicio de sesión único (SSO) con un proveedor de identidades (IdP) externo y marca Configurar el SSO con un proveedor de identidades externo.
- Introduce las URL de las páginas de tu organización para iniciar o cerrar sesión, y cambiar de contraseña.
- Elige y sube un archivo de certificado de verificación válido.
- Haz clic en Guardar, espera unos minutos a que los cambios se apliquen y prueba la integración de nuevo.
Análisis de la respuesta SAML
"Falta el parámetro de respuesta necesario, SAMLResponse"Este mensaje de error indica que el proveedor de identidades no ha facilitado a Google ningún tipo de respuesta SAML válida. Casi con total seguridad, este problema se debe a un error en la configuración del proveedor de identidades.
- Consulta los registros de dicho proveedor y asegúrate de que no haya nada que le impida devolver correctamente una respuesta SAML.
- Asegúrate de que el proveedor de identidades no envíe a Google Workspace una respuesta SAML cifrada. Google Workspace solo acepta respuestas SAML que no estén cifradas. Concretamente, ten en cuenta que los Servicios de federación de Active Directory 2.0 de Microsoft suelen enviar respuestas SAML cifradas como parte de la configuración predeterminada.
En la especificación SAML 2.0 es necesario que los proveedores de identidades recuperen y devuelvan un parámetro de URL RelayState de proveedores de recursos (como Google Workspace). En Google Workspace, se proporciona este valor al proveedor de identidades en la solicitud SAML. El contenido exacto puede diferir en cada inicio de sesión. Para que la autenticación se lleve a cabo correctamente, en la respuesta SAML debe devolverse el parámetro RelayState exacto. De acuerdo con la especificación estándar SAML, tu proveedor de identidades no debe modificar el parámetro RelayState durante el flujo de acceso.
- Evalúa con más precisión este problema capturando los encabezados HTTP durante un intento de inicio de sesión. Extrae el parámetro RelayState de los encabezados HTTP con la solicitud y la respuesta SAML, y asegúrate de que los valores de RelayState en la solicitud y en la respuesta coincidan.
- La mayoría de los proveedores de identidades de código abierto o disponibles en el mercado transmiten el parámetro RelayState perfectamente de forma predeterminada. Para obtener una fiabilidad y seguridad óptimas, recomendamos que utilices una de las siguientes soluciones actuales, pues no podemos ofrecer asistencia para tu propio software de SSO personalizado.
Contenido de la respuesta SAML
"No se puede acceder a este servicio porque tu solicitud de inicio de sesión contiene información de [destino|audiencia|destinatario] no válida. Inicia sesión e inténtalo de nuevo"Este error indica que los elementos de destino, audiencia o destinatario de la aserción SAML contenían información no válida o estaban vacíos. En las aserciones SAML deben incluirse todos los elementos. Consulta la tabla que se muestra a continuación para obtener descripciones y ejemplos de cada elemento.
Elemento | <Audience> |
---|---|
Descripción | URI que identifica la audiencia de destino que requiere el valor de URI ACS. Nota: El valor del elemento no puede dejarse en blanco. |
Valor obligatorio | https://www.google.com/a/<example.com>/acs |
Ejemplo |
<saml:Conditions NotBefore="2014-11-05T17:31:37Z" |
Elemento | Atributo Destination (Destino) del tipo <StatusResponseType> |
---|---|
Descripción | URI al que se envía la aserción SAML. Es un atributo opcional, pero si se declara, necesitará un valor de URI ACS. |
Valor obligatorio | https://www.google.com/a/<example.com>/acs |
Ejemplo |
<saml:Response |
Elemento | Atributo Recipient (Destinatario) de <SubjectConfirmationData> |
---|---|
Descripción |
|
Valor obligatorio | https://www.google.com/a/<example.com>/acs |
Ejemplo |
<saml:Subject> |
Para obtener más información sobre todos los elementos obligatorios, consulta el artículo Requisitos de las aserciones de SSO.
Este error suele indicar que en la respuesta SAML de tu proveedor de identidades falta un valor Recipient (Destinatario) legible (o que el valor de este campo no es correcto). El valor Recipient (Destinatario) es un componente importante de la respuesta SAML.
- Evalúa con más precisión este problema capturando los encabezados HTTP durante un intento de inicio de sesión.
- Extrae la solicitud y la respuesta SAML de los encabezados HTTP.
- Asegúrate de que el valor Recipient (Destinatario) esté presente en la respuesta SAML y de que coincida con el valor de la solicitud SAML.
Nota: Este mensaje de error también puede aparecer como "No se puede acceder a este servicio porque tu solicitud de inicio de sesión incluía datos de destinatario que no eran válidos. Inicia sesión e inténtalo de nuevo"
Este error indica que hay un problema con los certificados con los que se firma el flujo de autenticación. Normalmente, el problema se debe a que la clave privada utilizada para firmar la respuesta SAML no coincide con el certificado de clave pública que Google Workspace tiene en sus registros.
Este error también se puede producir si en la respuesta SAML no se incluye ningún nombre de usuario de cuenta de Google viable. Google Workspace analiza la respuesta SAML de un elemento XML llamado NameID y espera que este elemento contenga un nombre de usuario de Google Workspace o una dirección de correo electrónico completa de Google Workspace.
- Comprueba que has subido un certificado válido a Google Workspace y, si es necesario, reemplázalo. En la consola de administración de Google, ve a SeguridadConfigurar el inicio de sesión único (SSO) con un proveedor de identidades (IdP) externo y haz clic en Reemplazar certificado.
- Si usas una dirección de correo electrónico completa en el elemento NameID (es obligatorio si utilizas el inicio de sesión único con un entorno multidominio de G Suite), asegúrate de que el atributo Format del elemento NameID especifique que se va a utilizar una dirección de correo electrónico completa, como en el siguiente ejemplo: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
- Asegúrate de rellenar el elemento NameID con un nombre de usuario o una dirección de correo electrónico válidos. Para asegurarte, extrae la respuesta SAML que envías a Google Workspace y comprueba el valor del elemento NameID.
- NameID distingue entre mayúsculas y minúsculas: en la respuesta SAML, el valor de NameID debe coincidir exactamente con el nombre de usuario o la dirección de correo de Google Workspace.
- Si el proveedor de identidades cifra la aserción SAML, inhabilita el cifrado.
- Asegúrate de que la respuesta SAML no incluya caracteres ASCII que no sean estándar. Normalmente, este problema se produce en los atributos DisplayName (Nombre visible), GivenName (Nombre) y Surname (Apellido) de AttributeStatement (Resumen de atributo). Ejemplo:
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue> </Attribute> - <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
Para obtener más información sobre el formato correcto del elemento NameID, consulta los requisitos de las aserciones de SSO.
Por motivos de seguridad, el flujo de inicio de sesión único se debe completar en un plazo determinado; de lo contrario, se producirá un fallo en la autenticación. Si el reloj del proveedor de identidades no está ajustado correctamente, todos (o casi todos) los intentos de inicio de sesión parecerán encontrarse fuera del plazo aceptable, por lo que la autenticación fallará y se mostrará el mensaje de error anterior.
- Comprueba el reloj del servidor de tu proveedor de identidades. En casi todos los casos, este error se debe a que el reloj del proveedor de identidades no está ajustado correctamente, lo que añade marcas de tiempo incorrectas a la respuesta SAML.
- Vuelve a sincronizar el reloj del servidor del proveedor de identidades con un servidor de horario de Internet fiable. Cuando esta incidencia se produce repentinamente en un entorno de producción, suele deberse a un fallo en la última sincronización, lo que provoca que la hora del servidor sea inexacta. Repetir la sincronización horaria (con un servidor horario más fiable, si es posible) solucionará este problema rápidamente.
- Este problema también puede ocurrir si vuelves a enviar SAML desde un intento de inicio de sesión anterior. Para saber cómo depurar este error, examina la solicitud y respuesta SAML obtenidas de los registros del encabezado HTTP capturados durante un intento de inicio de sesión.
Por motivos de seguridad, el flujo de inicio de sesión único se debe completar en un plazo determinado; de lo contrario, se producirá un fallo en la autenticación. Si el reloj del proveedor de identidades no está ajustado correctamente, todos (o casi todos) los intentos de inicio de sesión parecerán encontrarse fuera del plazo aceptable, por lo que la autenticación fallará y se mostrará el mensaje de error anterior.
- Comprueba el reloj del servidor de tu proveedor de identidades. En casi todos los casos, este error se debe a que el reloj del proveedor de identidades no está ajustado correctamente, lo que añade marcas de tiempo incorrectas a la respuesta SAML.
- Vuelve a sincronizar el reloj del servidor del proveedor de identidades con un servidor de horario de Internet fiable. Cuando esta incidencia se produce repentinamente en un entorno de producción, suele deberse a un fallo en la última sincronización, lo que provoca que la hora del servidor sea inexacta. Repetir la sincronización horaria (con un servidor horario más fiable, si es posible) solucionará este problema rápidamente.