Este documento apresenta as instruções para você resolver mensagens de erro comuns que você pode ver durante a integração ou o uso do Logon único (SSO) baseado em SAML com o Google Workspace quando o Google é o provedor de serviços (SP).
Configuração e ativação
"Este domínio não está configurado para usar Logon único."Este erro geralmente indica que você está tentando usar o Logon único com uma edição padrão (sem custo financeiro) do G Suite, o que não é possível. Se você tiver certeza de que está usando uma edição do Google Workspace compatível com SSO, verifique a configuração no seu provedor de identidade para confirmar que digitou o nome de domínio do Google Workspace corretamente.
Se você encontrar esse erro depois de configurar o SSO usando perfis, é provável que seu IdP esteja assumindo incorretamente que você está usando o perfil de SSO na sua organização. Nesse caso, só será possível usar as configurações do perfil de SSO do IdP se você usá-las para configurar o perfil de SSO na organização.
Este erro indica que você não configurou o SSO corretamente no Google Admin Console. Siga estas etapas para corrigir o problema:
- No Admin Console, acesse SegurançaConfigurar Logon único (SSO) com um IdP de terceiros e marque a caixa Configurar SSO com o provedor de identidade terceirizado.
- Forneça os URLs das páginas de login, saída e alteração de senha da organização nos campos correspondentes.
- Escolha e faça o upload de um arquivo de certificado de verificação válido.
- Clique em Salvar, aguarde alguns minutos para que as alterações entrem em vigor e teste sua integração novamente.
Análise da resposta SAML
"O parâmetro de resposta necessário SAMLResponse estava ausente"Esta mensagem de erro indica que seu provedor de identidade não está fornecendo ao Google um tipo de resposta SAML válida. Esse problema provavelmente se deve a um erro de configuração no provedor de identidade.
- Verifique nos registros do Provedor de identidade se algo está impedindo o retorno de uma resposta SAML.
- Verifique se o provedor de identidade não está enviando uma resposta SAML criptografada do Google Workspace. O Google Workspace só aceita respostas SAML que não estão criptografadas. Especificamente, observe que o Active Directory Federation Services 2.0 da Microsoft costuma enviar respostas SAML criptografadas de acordo com as configurações padrão.
A especificação SAML 2.0 requer que os provedores de identidade recuperem e retornem um parâmetro de URL RelayState dos provedores de recursos (como o Google Workspace). O Google Workspace informa esse valor ao provedor de identidade na solicitação SAML, e o conteúdo exato pode variar a cada login. Para a autenticação funcionar, a resposta SAML precisa retornar o RelayState exato. De acordo com a especificação SAML padrão, seu provedor de identidade não deve modificar o RelayState durante o fluxo de login.
- Para diagnosticar o problema com mais detalhes, capture os cabeçalhos HTTP durante uma tentativa de login. Extraia o RelayState dos cabeçalhos HTTP com a solicitação e a resposta SAML e verifique se os valores de RelayState são os mesmos em ambas.
- Por padrão, a maioria dos provedores de identidade de Logon único disponíveis comercialmente ou de código aberto transmite o RelayState sem problemas. Para fins de segurança e confiabilidade, recomendamos que você use uma dessas soluções. Não damos suporte a software de Logon único personalizado.
Conteúdo da resposta SAML
"Não foi possível acessar o serviço porque sua solicitação de login continha informações de [destination|audience|recipient] inválidas. Faça login e tente novamente."Esse erro indica que os elementos destino, público ou destinatário na asserção SAML continham informações inválidas ou estavam vazios. Todos os elementos precisam ser incluídos na asserção SAML. Veja na tabela a seguir as descrições e os exemplos de cada elemento.
Elemento | <Audience> |
---|---|
Descrição | URI que identifica o público-alvo que requer o valor do URI do ACS. Observação: o valor do elemento não pode estar vazio. |
Valor necessário | https://www.google.com/a/<example.com>/acs |
Exemplo |
<saml:Conditions NotBefore="2014-11-05T17:31:37Z" |
Elemento | Atributo "Destination" do tipo <StatusResponseType> |
---|---|
Descrição | URI do destino de envio da asserção SAML. É um atributo opcional, mas requer um valor de URI do ACS caso seja declarado. |
Valor necessário | https://www.google.com/a/<example.com>/acs |
Exemplo |
<saml:Response |
Elemento | Recipient attribute of <SubjectConfirmationData> |
---|---|
Descrição |
|
Valor necessário | https://www.google.com/a/<example.com>/acs |
Exemplo |
<saml:Subject> |
Veja mais detalhes sobre todos os elementos obrigatórios no artigo Requisitos de declaração de SSO.
Esse erro geralmente indica que a resposta SAML do Provedor de identidade não inclui um valor legível para Recipient ou que o valor de Recipient está incorreto. O valor de Recipient é um componente importante da resposta SAML.
- Para diagnosticar o problema em detalhes, colete os cabeçalhos HTTP durante uma tentativa de login.
- Extraia a solicitação e a resposta SAML dos cabeçalhos HTTP.
- Verifique se o valor Destinatário está incluído na resposta SAML e se corresponde ao valor encontrado na solicitação SAML.
Observação: esta mensagem de erro também poderá ser exibida como "Não foi possível acessar esse serviço porque sua solicitação de login continha informações de destinatário inválidas. Faça login e tente novamente."
Esse erro indica um problema nos certificados que você está usando para assinar o fluxo de autenticação. Geralmente, isso significa que a chave privada usada para assinar a resposta SAML não corresponde ao certificado de chave pública no arquivo do Google Workspace.
Ele também poderá ocorrer se a resposta SAML não tiver um nome de usuário viável nas Contas do Google. O Google Workspace analisa a resposta SAML em busca de um elemento XML chamado NameID. Esse elemento deve conter um nome de usuário do Google Workspace ou um endereço de e-mail completo do Google Workspace.
- Verifique se você fez o upload de um certificado válido no Google Workspace e, se necessário, substitua o certificado. No Google Admin Console, acesse SegurançaConfigurar Logon único (SSO) com um IdP de terceiros e clique em Substituir certificado.
- Se você estiver usando um endereço de e-mail completo no elemento NameID, necessário se você estiver usando o Logon único em um ambiente de vários domínios do Apps, verifique se o atributo Format do elemento NameID especifica que um endereço de e-mail completo precisa ser usado, como no exemplo a seguir: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
- Verifique se o elemento NameID foi preenchido com um nome de usuário ou endereço de e-mail válido. Para ter certeza, extraia a resposta SAML que você está enviando ao Google Workspace e verifique o valor do elementoNameID.
- O NameID diferencia maiúsculas de minúsculas: verifique se a resposta SAML está preenchendo o NameID com um valor que corresponda ao nome de usuário ou endereço de e-mail do Google Workspace.
- Se o provedor de identidade estiver criptografando sua declaração SAML, desative a criptografia.
- Verifique se a resposta SAML não inclui caracteres ASCII não padrão. Esse problema geralmente ocorre nos atributos DisplayName, GivenName e Surname attributes no AttributeStatement. Por exemplo:
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue> </Attribute> - <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
Veja mais informações sobre como formatar o elemento NameID em Requisitos de declaração de SSO.
Por motivos de segurança, o fluxo de login do SSO precisa ser concluído em um determinado período, ou a autenticação falhará. Se o relógio do provedor de identidade estiver incorreto, todas as tentativas de login ou a maioria delas parecerão extrapolar o período aceitável, e a mensagem de erro acima será exibida para indicar que a autenticação falhou.
- Verifique o relógio do provedor de identidade. Este erro quase sempre acontece porque o relógio do provedor de identidade está incorreto, adicionando timestamps incorretos à resposta SAML.
- Sincronize novamente o relógio do servidor do provedor de identidade com um servidor de horário confiável da Internet. Quando este problema ocorre repentinamente em um ambiente de produção, normalmente isso acontece porque uma falha na última sincronização tornou o horário do servidor impreciso. Repita a sincronização de horário, se possível com um servidor de horário mais confiável, para corrigir rapidamente a situação.
- Este problema também poderá ocorrer se você estiver reenviando a resposta SAML de uma tentativa de login anterior. Para uma depuração mais detalhada, examine a solicitação e a resposta SAML, nos registros de cabeçalhos HTTP capturados durante uma tentativa de login.
Por motivos de segurança, o fluxo de login do SSO precisa ser concluído em um determinado período, ou a autenticação falhará. Se o relógio do provedor de identidade estiver incorreto, todas as tentativas de login ou a maioria delas parecerão extrapolar o período aceitável, e a mensagem de erro acima será exibida para indicar que a autenticação falhou.
- Verifique o relógio do provedor de identidade. Este erro quase sempre acontece porque o relógio do provedor de identidade está incorreto, adicionando timestamps incorretos à resposta SAML.
- Sincronize novamente o relógio do servidor do provedor de identidade com um servidor de horário confiável da Internet. Quando este problema ocorre repentinamente em um ambiente de produção, normalmente isso acontece porque uma falha na última sincronização tornou o horário do servidor impreciso. Repita a sincronização de horário, se possível com um servidor de horário mais confiável, para corrigir rapidamente a situação.