Risolvere i problemi relativi al Single Sign-On (SSO)

Questo documento descrive i passaggi per risolvere i problemi segnalati da messaggi di errore comuni che potresti riscontrare durante l'integrazione o l'utilizzo del servizio Single Sign-On (SSO) basato su SAML con Google Workspace quando Google è il fornitore di servizi.

Configurazione e attivazione

"Il dominio non è configurato per l'utilizzo della funzionalità Single Sign-On".

Questo messaggio di errore indica in genere che stai tentando di utilizzare il servizio Single Sign-On con una versione precedente (senza costi aggiuntivi) di G Suite, che non supporta l'accesso SSO. Se hai la certezza che la versione di Google Workspace che utilizzi supporta SSO, verifica la configurazione nel tuo provider di identità per assicurarti di aver inserito correttamente il nome del dominio Google Workspace.

Se riscontri questo errore dopo aver configurato il servizio SSO utilizzando i profili, è probabile che il tuo IdP supponga erroneamente che tu stia utilizzando il profilo SSO per la tua organizzazione. In questo caso, le impostazioni del profilo SSO dell'IdP potrebbero essere utilizzabili solo se le utilizzi per configurare il profilo SSO per la tua organizzazione.

"Impossibile accedere all'account poiché il dominio non è correttamente configurato. Riprova più tardi".

Questo messaggio di errore indica che il servizio SSO non è stato configurato correttamente nella Console di amministrazione Google. Esegui i seguenti passaggi per risolvere il problema:

  1. Nella Console di amministrazione, vai a SicurezzaquindiConfigura il Single Sign-On (SSO) con un provider di identità di terze parti e seleziona Configura SSO con provider di identità di terze parti.
  2. Inserisci gli URL per le pagine di accesso, uscita e modifica della password della tua organizzazione nei campi corrispondenti.
  3. Scegli e carica un file di certificato di verifica valido.
  4. Fai clic su Salva e attendi alcuni minuti affinché le modifiche abbiano effetto, quindi verifica di nuovo l'integrazione.

Analisi della risposta SAML

"Il parametro di risposta richiesto SAMLResponse era mancante"

Questo messaggio di errore indica che il provider di identità non fornisce a Google alcuna risposta SAML valida. Ciò è quasi certamente dovuto a un problema di configurazione del provider di identità.

  • Esamina i log del provider di identità e assicurati che non vi siano problemi che impediscono la corretta restituzione della risposta SAML.
  • Accertati che il tuo provider di identità non stia inviando a Google Workspace una risposta SAML criptata. Google Workspace accetta solo risposte SAML non criptate. In particolare, tieni presente che il server Active Directory Federation Services 2.0 di Microsoft, quando viene utilizzato in configurazioni predefinite, invia spesso risposte SAML criptate.
"Il parametro di risposta richiesto RelayState era mancante"

La specifica SAML 2.0 richiede che i provider di identità recuperino e restituiscano un parametro URL RelayState dai provider di risorse quali, ad esempio, Google Workspace. Google Workspace fornisce questo valore al provider di identità all'interno della richiesta SAML e l'esatto contenuto può essere diverso a ogni accesso. Per il corretto completamento dell'autenticazione, nella risposta SAML deve essere restituito il contenuto esatto del parametro RelayState. In base alla specifica standard SAML, il tuo provider di identità non dovrebbe modificare il parametro RelayState durante il flusso di accesso.

  • Per diagnosticare ulteriormente questo problema, è necessario acquisire le intestazioni HTTP durante un tentativo di accesso. Estrai il parametro RelayState dalle intestazioni HTTP sia con la richiesta sia con la risposta SAML e assicurati che i valori di RelayState nella richiesta e nella risposta corrispondano.
  • Per impostazione predefinita, la maggior parte dei provider di identità SSO disponibili sul mercato oppure open source trasmette senza problemi il parametro RelayState. Per una sicurezza e un'affidabilità ottimali, consigliamo di utilizzare una delle soluzioni esistenti; non siamo in grado di offrire assistenza per il tuo software SSO personalizzato.

Contenuto della risposta SAML

"Non è stato possibile accedere a questo servizio perché la richiesta di accesso contiene informazioni [destination|audience|recipient] errate. Accedi e riprova".

Questo errore indica che gli elementi destination, audience o recipient dell'asserzione SAML contenevano dati non validi o erano vuoti. Tutti gli elementi devono essere inclusi nell'asserzione SAML. Controlla nella tabella seguente le descrizioni e gli esempi relativi a ciascun elemento.

Elemento <Audience>
Descrizione URI che identifica il pubblico di destinazione e richiede il valore dell'URI dell'ACS. Nota: il valore dell'elemento non può essere vuoto.
Valore richiesto https://www.google.com/a/<example.com>/acs
Esempio

<saml:Conditions NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

 

Elemento Attributo Destination del tipo <StatusResponseType>
Descrizione URI a cui viene inviata l'asserzione SAML. Facoltativo; tuttavia, se viene dichiarato, è necessario specificare un valore dell'URI dell'ACS.
Valore richiesto https://www.google.com/a/<example.com>/acs
Esempio

<saml:Response
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhhoehbokhbkeapbbinldpeen">

 

Elemento Attributo Recipient dell'elemento <SubjectConfirmationData>
 
Descrizione
  • Definisce l'entità che deve ricevere l'elemento Subject
  • È un attributo obbligatorio, che deve contenere l'URI dell'ACS
  • Fa distinzione tra maiuscole e minuscole
Valore richiesto https://www.google.com/a/<example.com>/acs
Esempio

<saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"/>
</saml:SubjectConfirmation> 
</saml:Subject>

Per informazioni dettagliate su tutti gli elementi obbligatori, consulta l'articolo Requisiti per l'asserzione SSO.

"Impossibile accedere a questo servizio in quanto la richiesta di accesso non contiene i dati del destinatario. Esegui nuovamente l'accesso e riprova".

Questo errore di solito indica che la risposta SAML restituita dal provider di identità non contiene un valore Recipient leggibile (o che il valore Recipient non è corretto). Il valore Recipient è una componente importante della risposta SAML.

  1. Per diagnosticare ulteriormente questo problema, è necessario acquisire le intestazioni HTTP durante un tentativo di accesso.
  2. Estrai la richiesta e la risposta SAML dalle intestazioni HTTP.
  3. Assicurati che il valore Recipient nella risposta SAML sia esistente e che corrisponda al valore nella richiesta SAML.

Nota: è possibile che questo messaggio di errore venga visualizzato come "Impossibile accedere al servizio perché la richiesta di accesso contiene informazioni sul destinatario non valide. Esegui l'accesso e riprova".

"Impossibile accedere all'account poiché non è stato possibile verificare i dati di accesso".

Questo messaggio di errore indica un problema con i certificati che utilizzi per firmare il flusso di autenticazione. Di solito significa che la chiave privata utilizzata per firmare la risposta SAML non corrisponde al certificato di chiave pubblica archiviato da Google Workspace.

Questo messaggio di errore potrebbe anche indicare che la risposta SAML non contiene un nome utente di Account Google utilizzabile. Google Workspace analizza la risposta SAML al fine di individuare un elemento XML denominato NameID e il contenuto previsto di questo elemento è un nome utente Google Workspace o un indirizzo email di Google Workspace completo.

  • Assicurati di aver caricato un certificato valido in Google Workspace e, se necessario, sostituiscilo. Nella Console di amministrazione Google, vai a SicurezzaquindiConfigura il Single Sign-On (SSO) con un provider di identità di terze parti e fai clic su Sostituisci certificato.
  • Se utilizzi un indirizzo email completo nell'elemento NameID (necessario se applichi l'accesso SSO a un ambiente App con più domini), assicurati che l'attributo Format dell'elemento NameID specifichi che è necessario utilizzare un indirizzo email completo, come nell'esempio seguente: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
  • Assicurati di aver compilato l'elemento NameID con un nome utente o un indirizzo email valido. Per averne la certezza, estrai la risposta SAML che stai inviando a Google Workspace e controlla il valore dell'elemento NameID.
  • NameID è sensibile alle maiuscole: assicurati che la risposta SAML completi l'elemento NameID con un valore che corrisponda esattamente al nome utente o all'indirizzo email di Google Workspace. 
  • Se il provider di identità sta criptando la tua asserzione SAML, disattiva la crittografia.
  • Accertati che la risposta SAML non includa caratteri ASCII non standard. Questo problema si verifica più comunemente negli attributi DisplayName, GivenName e Surname dell'elemento AttributeStatement, ad esempio:
    • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
      <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
    • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
      <AttributeValue>Blüte</AttributeValue> </Attribute>

Per saperne di più su come formattare l'elemento NameID, consulta i requisiti per l'asserzione SSO.

"Impossibile accedere a questo servizio poiché i dati di accesso sono scaduti. Esegui l'accesso e riprova".

Per motivi di sicurezza, il flusso di accesso SSO deve essere completato entro un periodo di tempo determinato, altrimenti l'autenticazione ha esito negativo. Se l'orologio del tuo provider di identità non è preciso, gran parte dei tentativi di accesso, se non tutti, saranno esterni al periodo di tempo accettabile e l'autenticazione non riuscirà, restituendo il messaggio di errore sopra riportato.

  • Controlla l'orologio sul server del tuo provider di identità. Questo errore è quasi sempre causato da un orologio del provider di identità non preciso che aggiunge timestamp non corretti alla risposta SAML.
  • Esegui nuovamente la sincronizzazione dell'orologio del server del provider di identità con un server di riferimento ora su internet più affidabile. In genere, quando questo problema si presenta all'improvviso in un ambiente di produzione, il motivo è la mancata riuscita dell'ultima sincronizzazione temporale, che comporta l'imprecisione dell'ora del server. Ripetendo la sincronizzazione dell'ora (possibilmente con un server di riferimento dell'ora più affidabile) risolverai rapidamente il problema.
  • Questo problema può inoltre presentarsi quando si invia nuovamente la risposta SAML da un tentativo di accesso precedente. L'esame della richiesta e della risposta SAML (ottenute dai log delle intestazioni HTTP rilevate durante un tentativo di accesso) può aiutarti a eseguire ulteriormente il debug.
"Questo servizio non è accessibile perché i dati di accesso non sono ancora validi. Esegui nuovamente l'accesso e riprova."

Per motivi di sicurezza, il flusso di accesso SSO deve essere completato entro un periodo di tempo determinato, altrimenti l'autenticazione ha esito negativo. Se l'orologio del tuo provider di identità non è preciso, gran parte dei tentativi di accesso, se non tutti, saranno esterni al periodo di tempo accettabile e l'autenticazione non riuscirà, restituendo il messaggio di errore sopra riportato.

  • Controlla l'orologio sul server del tuo provider di identità. Questo errore è quasi sempre causato da un orologio del provider di identità non preciso che aggiunge timestamp non corretti alla risposta SAML.
  • Esegui nuovamente la sincronizzazione dell'orologio del server del provider di identità con un server di riferimento ora su internet più affidabile. In genere, quando questo problema si presenta all'improvviso in un ambiente di produzione, il motivo è la mancata riuscita dell'ultima sincronizzazione temporale, che comporta l'imprecisione dell'ora del server. Ripetendo la sincronizzazione dell'ora (possibilmente con un server di riferimento dell'ora più affidabile) risolverai rapidamente il problema.

È stato utile?

Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
13216040908036070397
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false