Ce document décrit la procédure de traitement des messages d'erreur couramment rencontrés pendant l'intégration ou l'utilisation du service d'authentification unique (SSO) basé sur SAML avec Google Workspace lorsque Google est le fournisseur de services (SP).
Configuration et activation
"Ce domaine n'est pas configuré pour une authentification unique."Cette erreur indique généralement que vous tentez d'utiliser l'authentification unique avec une ancienne édition sans frais de G Suite, qui n'est pas compatible avec cette fonctionnalité. Si vous êtes certain d'utiliser une édition de Google Workspace compatible avec l'authentification unique, vérifiez la configuration de votre fournisseur d'identité pour vous assurer d'avoir saisi correctement votre nom de domaine Google Workspace.
Si vous rencontrez cette erreur après avoir configuré l'authentification unique à l'aide de profils, il est probable que votre fournisseur d'identité (IdP) suppose à tort que vous utilisez le profil SSO de votre organisation. Si tel est le cas, il est possible que vous ne puissiez utiliser les paramètres de profil SSO de votre IdP que pour configurer le profil SSO de votre organisation.
Cette erreur indique que vous n'avez pas correctement configuré l'authentification unique dans la console d'administration Google. Pour corriger ce problème, procédez comme suit :
- Dans la console d'administration, accédez à SécuritéConfigurer l'authentification unique (SSO) avec un fournisseur d'identité tiers, puis cochez la case Configurer l'authentification unique avec un fournisseur d'identité tiers.
- Indiquez les URL des pages de connexion, de déconnexion et de modification de mot de passe de votre organisation dans les champs appropriés.
- Sélectionnez et importez un fichier de certificat de validation valable.
- Cliquez sur Enregistrer, patientez quelques minutes le temps que vos modifications soient prises en compte, puis testez à nouveau votre intégration.
Analyse de la réponse SAML
"Le paramètre de réponse requis 'SAMLResponse' était absent."Ce message d'erreur indique que votre fournisseur d'identité n'a pas fourni à Google un type de réponse SAML valide. Cette erreur découle très probablement d'un problème de configuration dans le fournisseur d'identité.
- Consultez les journaux de votre fournisseur d'identité et assurez-vous que rien ne l'empêche de renvoyer une réponse SAML correcte.
- Vérifiez que votre fournisseur d'identité n'envoie pas à Google Workspace une réponse SAML chiffrée. Seules les réponses SAML non chiffrées sont acceptées par Google Workspace. Notez d'ailleurs que le composant Microsoft Active Directory Federation Services 2.0 envoie fréquemment des réponses SAML chiffrées dans les configurations par défaut.
La spécification SAML 2.0 exige que les fournisseurs d'identité récupèrent et renvoient un paramètre d'URL RelayState à partir des fournisseurs de ressources (tels que Google Workspace). Google Workspace transmet cette valeur au fournisseur d'identité dans la requête SAML, et le contenu exact de la valeur peut varier à chaque connexion. Pour que l'authentification puisse s'effectuer correctement, la valeur "RelayState" exacte doit être renvoyée dans la réponse SAML. Conformément à la spécification de la norme SAML, votre fournisseur d'identité ne doit pas modifier la valeur "RelayState" pendant le processus de connexion.
- Pour diagnostiquer plus précisément le problème, capturez les en-têtes HTTP lors d'une tentative de connexion. Extrayez les valeurs RelayState contenues dans la requête et la réponse SAML des en-têtes HTTP, et assurez-vous qu'elles correspondent.
- La plupart des fournisseurs d'identité SSO disponibles sur le marché ou Open Source transmettent par défaut la valeur RelayState sans difficulté. Afin d'optimiser la sécurité et la fiabilité, nous vous recommandons d'utiliser l'une de ces solutions existantes, car nous ne sommes pas en mesure de vous proposer une assistance pour votre propre logiciel SSO personnalisé.
Contenu de la réponse SAML
"Ce service est inaccessible, car votre demande de connexion contient des informations incorrectes concernant [la destination|l'audience|le destinataire]. Veuillez vous connecter et réessayer."Cette erreur indique que les éléments relatifs à la destination, à l'audience ou au destinataire dans l'assertion SAML contiennent des informations incorrectes ou sont absents. Tous les éléments doivent figurer dans l'assertion SAML. Pour obtenir une description et des exemples pour chaque élément, reportez-vous au tableau suivant.
Élément | <Audience> |
---|---|
Description | URI qui identifie l'audience visée ; requiert comme valeur l'URI ACS. Remarque : cette valeur est obligatoire. |
Valeur requise | https://www.google.com/a/<example.com>/acs |
Exemple |
<saml:Conditions NotBefore="2014-11-05T17:31:37Z" |
Élément | Attribut de destination du type <StatusResponseType> |
---|---|
Description | URI de la destination à laquelle l'assertion SAML est envoyée. Attribut facultatif qui, s'il est déclaré, requiert comme valeur l'URI ACS. |
Valeur requise | https://www.google.com/a/<example.com>/acs |
Exemple |
<saml:Response |
Élément | Attribut de destinataire de <SubjectConfirmationData> |
---|---|
Description |
|
Valeur requise | https://www.google.com/a/<example.com>/acs |
Exemple |
<saml:Subject> |
Pour en savoir plus sur l'ensemble des éléments requis, consultez Conditions requises concernant les assertions SSO.
Cette erreur indique généralement que la réponse SAML de votre fournisseur d'identité ne comporte pas de valeur Recipient lisible (ou que la valeur Recipient est incorrecte). La valeur Recipient constitue un élément important de la réponse SAML.
- Pour diagnostiquer plus précisément le problème, capturez les en-têtes HTTP lors d'une tentative de connexion.
- Extrayez la requête et la réponse SAML des en-têtes HTTP.
- Vérifiez que la valeur Recipient indiquée dans la réponse SAML existe et qu'elle correspond à la valeur figurant dans la requête SAML.
Remarque : Ce message d'erreur peut également apparaître sous la forme suivante : "Ce service est inaccessible, car les informations sur le destinataire contenues dans votre demande de connexion sont incorrectes. Veuillez vous connecter et réessayer."
Cette erreur signale un problème avec les certificats que vous utilisez pour signer le processus d'authentification. Cela signifie généralement que la clé privée servant à signer la réponse SAML ne correspond pas au certificat de clé publique dont dispose Google Workspace.
Cette erreur peut également se produire si votre réponse SAML ne contient pas de nom d'utilisateur de compte Google valide. Google Workspace analyse la réponse SAML à la recherche d'un élément XML appelé NameID et s'attend à ce que cet élément contienne un nom d'utilisateur Google Workspace ou une adresse e-mail Google Workspace complète.
- Assurez-vous d'avoir importé un certificat valide dans Google Workspace et remplacez-le, si nécessaire. Dans la console d'administration Google, accédez à SécuritéConfigurer l'authentification unique (SSO) avec un fournisseur d'identité tiers et cliquez sur Remplacer le certificat.
- Si vous utilisez une adresse e-mail complète dans l'élément NameID (obligatoire si vous utilisez SSO avec un environnement Apps multidomaine), assurez-vous que l'attribut Format de l'élément NameID exige l'utilisation d'une adresse e-mail complète, comme dans l'exemple suivant : Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
- Prenez soin de bien indiquer un nom d'utilisateur ou une adresse e-mail valides pour l'élément NameID. Pour en avoir la certitude, extrayez la réponse SAML que vous envoyez à Google Workspace, puis vérifiez la valeur de l'élément NameID.
- NameID est sensible à la casse : assurez-vous que la réponse SAML remplisse le champ de la valeur NameID avec une casse identique à celle du nom d'utilisateur ou de l'adresse e-mail Google Workspace.
- Si votre fournisseur d'identité chiffre votre assertion SAML, désactivez le chiffrement.
- Assurez-vous que la réponse SAML contient exclusivement des caractères ASCII standards. Ce type de problème se produit le plus souvent dans les attributs "DisplayName", "GivenName" et "Surname", dans la partie "AttributeStatement". Exemples :
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue> </Attribute> - <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
Pour en savoir plus sur la mise en forme de l'élément NameID, consultez Conditions requises concernant les assertions SSO.
Pour des raisons de sécurité, le processus de connexion SSO doit s'effectuer dans un délai spécifique. Dans le cas contraire, l'authentification échoue. Si l'horloge de votre fournisseur d'identité est incorrecte, la plupart ou la totalité des tentatives de connexion apparaîtront comme dépassant le délai acceptable, et l'authentification échouera en affichant le message d'erreur ci-dessus.
- Vérifiez l'horloge du serveur de votre fournisseur d'identité. Cette erreur découle presque toujours de l'inexactitude de l'horloge du fournisseur d'identité, qui entraîne l'ajout d'horodatages incorrects à la réponse SAML.
- Resynchronisez l'horloge du serveur du fournisseur d'identité avec un serveur de temps Internet fiable. Lorsque ce problème survient soudainement dans un environnement de production, il est généralement dû au fait que la dernière synchronisation de temps a échoué, ce qui a faussé l'heure du serveur. Vous pouvez résoudre rapidement ce problème en répétant la synchronisation de temps (éventuellement avec un serveur de temps plus fiable).
- Ce problème peut également se produire si vous renvoyez un élément SAML provenant d'une tentative de connexion précédente. Pour déterminer si cette situation est à l'origine du problème, examinez vos requête et réponse SAML (figurant dans les journaux d'en-têtes HTTP capturés lors d'une tentative de connexion).
Pour des raisons de sécurité, le processus de connexion SSO doit s'effectuer dans un délai spécifique. Dans le cas contraire, l'authentification échoue. Si l'horloge de votre fournisseur d'identité est incorrecte, la plupart ou la totalité des tentatives de connexion apparaîtront comme dépassant le délai acceptable, et l'authentification échouera en affichant le message d'erreur ci-dessus.
- Vérifiez l'horloge du serveur de votre fournisseur d'identité. Cette erreur découle presque toujours de l'inexactitude de l'horloge du fournisseur d'identité, qui entraîne l'ajout d'horodatages incorrects à la réponse SAML.
- Resynchronisez l'horloge du serveur du fournisseur d'identité avec un serveur de temps Internet fiable. Lorsque ce problème survient soudainement dans un environnement de production, il est généralement dû au fait que la dernière synchronisation de temps a échoué, ce qui a faussé l'heure du serveur. Vous pouvez résoudre rapidement ce problème en répétant la synchronisation de temps (éventuellement avec un serveur de temps plus fiable).