Solucionar problemas de inicio de sesión único (SSO)

En este documento se describen los pasos para resolver los errores más frecuentes que se producen al integrar o usar el inicio de sesión único (SSO) basado en SAML con Google Workspace cuando Google es el proveedor de servicios.

Configuración y activación

"Este dominio no está configurado para utilizar el inicio de sesión único"

Este error suele indicar que estás intentando usar el inicio de sesión único con una edición gratuita antigua de G Suite, que no admite esta función. Si tienes la certeza de que estás utilizando una edición de Google Workspace que admite el inicio de sesión único, comprueba en la configuración de tu proveedor de identidades que el nombre de tu dominio de Google Workspace se ha introducido correctamente.

Si ves este error después de configurar el SSO con perfiles, es probable que tu proveedor de identidades presupone que estás usando el perfil de SSO de tu organización. De ser así, la configuración del perfil de SSO del proveedor de identidades solo se podrá utilizar si la configuras para tu organización.

"No es posible acceder a esta cuenta porque el dominio se ha configurado de forma incorrecta. Inténtalo más tarde"

Este error indica que no has configurado correctamente el inicio de sesión único en la consola de administración de Google. Para corregirlo, sigue estos pasos:

  1. En la consola de administración, ve a Seguridad y luego Configurar el inicio de sesión único (SSO) con un proveedor de identidades (IdP) externo y marca Configurar el SSO con un proveedor de identidades externo.
  2. Introduce las URL de las páginas de tu organización para iniciar o cerrar sesión, y cambiar de contraseña.
  3. Elige y sube un archivo de certificado de verificación válido.
  4. Haz clic en Guardar, espera unos minutos a que los cambios se apliquen y prueba la integración de nuevo.

Análisis de la respuesta SAML

"Falta el parámetro de respuesta necesario, SAMLResponse"

Este mensaje de error indica que el proveedor de identidades no ha facilitado a Google ningún tipo de respuesta SAML válida. Casi con total seguridad, este problema se debe a un error en la configuración del proveedor de identidades.

  • Consulta los registros de dicho proveedor y asegúrate de que no haya nada que le impida devolver correctamente una respuesta SAML.
  • Asegúrate de que el proveedor de identidades no envíe a Google Workspace una respuesta SAML cifrada. Google Workspace solo acepta respuestas SAML que no estén cifradas. Concretamente, ten en cuenta que los Servicios de federación de Active Directory 2.0 de Microsoft suelen enviar respuestas SAML cifradas como parte de la configuración predeterminada.
"Falta el parámetro de respuesta necesario, RelayState"

En la especificación SAML 2.0 es necesario que los proveedores de identidades recuperen y devuelvan un parámetro de URL RelayState de proveedores de recursos (como Google Workspace). En Google Workspace, se proporciona este valor al proveedor de identidades en la solicitud SAML. El contenido exacto puede diferir en cada inicio de sesión. Para que la autenticación se lleve a cabo correctamente, en la respuesta SAML debe devolverse el parámetro RelayState exacto. De acuerdo con la especificación estándar SAML, tu proveedor de identidades no debe modificar el parámetro RelayState durante el flujo de acceso.

  • Evalúa con más precisión este problema capturando los encabezados HTTP durante un intento de inicio de sesión. Extrae el parámetro RelayState de los encabezados HTTP con la solicitud y la respuesta SAML, y asegúrate de que los valores de RelayState en la solicitud y en la respuesta coincidan.
  • La mayoría de los proveedores de identidades de código abierto o disponibles en el mercado transmiten el parámetro RelayState perfectamente de forma predeterminada. Para obtener una fiabilidad y seguridad óptimas, recomendamos que utilices una de las siguientes soluciones actuales, pues no podemos ofrecer asistencia para tu propio software de SSO personalizado.

Contenido de la respuesta SAML

"No se puede acceder a este servicio porque tu solicitud de inicio de sesión contiene información de [destino|audiencia|destinatario] no válida. Inicia sesión e inténtalo de nuevo"

Este error indica que los elementos de destino, audiencia o destinatario de la aserción SAML contenían información no válida o estaban vacíos. En las aserciones SAML deben incluirse todos los elementos. Consulta la tabla que se muestra a continuación para obtener descripciones y ejemplos de cada elemento.

Elemento <Audience>
Descripción URI que identifica la audiencia de destino que requiere el valor de URI ACS. Nota: El valor del elemento no puede dejarse en blanco.
Valor obligatorio https://www.google.com/a/<example.com>/acs
Ejemplo

<saml:Conditions NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

 

Elemento Atributo Destination (Destino) del tipo <StatusResponseType>
Descripción URI al que se envía la aserción SAML. Es un atributo opcional, pero si se declara, necesitará un valor de URI ACS.
Valor obligatorio https://www.google.com/a/<example.com>/acs
Ejemplo

<saml:Response
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhhoehbokhbkeapbbinldpeen">

 

Elemento Atributo Recipient (Destinatario) de <SubjectConfirmationData>
 
Descripción
  • Define la entidad que quieres que reciba el Subject (Sujeto)
  • Es un atributo obligatorio, que debe contener el URI ACS
  • Distingue entre mayúsculas y minúsculas
Valor obligatorio https://www.google.com/a/<example.com>/acs
Ejemplo

<saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"/>
</saml:SubjectConfirmation> 
</saml:Subject>

Para obtener más información sobre todos los elementos obligatorios, consulta el artículo Requisitos de las aserciones de SSO.

"No se puede acceder a este servicio porque tu solicitud de inicio de sesión no incluía los datos de destinatario. Inicia sesión e inténtalo de nuevo"

Este error suele indicar que en la respuesta SAML de tu proveedor de identidades falta un valor Recipient (Destinatario) legible (o que el valor de este campo no es correcto). El valor Recipient (Destinatario) es un componente importante de la respuesta SAML.

  1. Evalúa con más precisión este problema capturando los encabezados HTTP durante un intento de inicio de sesión.
  2. Extrae la solicitud y la respuesta SAML de los encabezados HTTP.
  3. Asegúrate de que el valor Recipient (Destinatario) esté presente en la respuesta SAML y de que coincida con el valor de la solicitud SAML.

Nota: Este mensaje de error también puede aparecer como "No se puede acceder a este servicio porque tu solicitud de inicio de sesión incluía datos de destinatario que no eran válidos. Inicia sesión e inténtalo de nuevo"

"No se puede acceder a esta cuenta porque no se han podido verificar las credenciales de inicio de sesión"

Este error indica que hay un problema con los certificados con los que se firma el flujo de autenticación. Normalmente, el problema se debe a que la clave privada utilizada para firmar la respuesta SAML no coincide con el certificado de clave pública que Google Workspace tiene en sus registros.

Este error también se puede producir si en la respuesta SAML no se incluye ningún nombre de usuario de cuenta de Google viable. Google Workspace analiza la respuesta SAML de un elemento XML llamado NameID y espera que este elemento contenga un nombre de usuario de Google Workspace o una dirección de correo electrónico completa de Google Workspace.

  • Comprueba que has subido un certificado válido a Google Workspace y, si es necesario, reemplázalo. En la consola de administración de Google, ve a Seguridady luegoConfigurar el inicio de sesión único (SSO) con un proveedor de identidades (IdP) externo y haz clic en Reemplazar certificado.
  • Si usas una dirección de correo electrónico completa en el elemento NameID (es obligatorio si utilizas el inicio de sesión único con un entorno multidominio de G Suite), asegúrate de que el atributo Format del elemento NameID especifique que se va a utilizar una dirección de correo electrónico completa, como en el siguiente ejemplo: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
  • Asegúrate de rellenar el elemento NameID con un nombre de usuario o una dirección de correo electrónico válidos. Para asegurarte, extrae la respuesta SAML que envías a Google Workspace y comprueba el valor del elemento NameID.
  • NameID distingue entre mayúsculas y minúsculas: en la respuesta SAML, el valor de NameID debe coincidir exactamente con el nombre de usuario o la dirección de correo de Google Workspace. 
  • Si el proveedor de identidades cifra la aserción SAML, inhabilita el cifrado.
  • Asegúrate de que la respuesta SAML no incluya caracteres ASCII que no sean estándar. Normalmente, este problema se produce en los atributos DisplayName (Nombre visible), GivenName (Nombre) y Surname (Apellido) de AttributeStatement (Resumen de atributo). Ejemplo:
    • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
      <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
    • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
      <AttributeValue>Blüte</AttributeValue> </Attribute>

Para obtener más información sobre el formato correcto del elemento NameID, consulta los requisitos de las aserciones de SSO.

"No se puede acceder a este servicio, porque tus credenciales de inicio de sesión han caducado. Inicia sesión e inténtalo de nuevo"

Por motivos de seguridad, el flujo de inicio de sesión único se debe completar en un plazo determinado; de lo contrario, se producirá un fallo en la autenticación. Si el reloj del proveedor de identidades no está ajustado correctamente, todos (o casi todos) los intentos de inicio de sesión parecerán encontrarse fuera del plazo aceptable, por lo que la autenticación fallará y se mostrará el mensaje de error anterior.

  • Comprueba el reloj del servidor de tu proveedor de identidades. En casi todos los casos, este error se debe a que el reloj del proveedor de identidades no está ajustado correctamente, lo que añade marcas de tiempo incorrectas a la respuesta SAML.
  • Vuelve a sincronizar el reloj del servidor del proveedor de identidades con un servidor de horario de Internet fiable. Cuando esta incidencia se produce repentinamente en un entorno de producción, suele deberse a un fallo en la última sincronización, lo que provoca que la hora del servidor sea inexacta. Repetir la sincronización horaria (con un servidor horario más fiable, si es posible) solucionará este problema rápidamente.
  • Este problema también puede ocurrir si vuelves a enviar SAML desde un intento de inicio de sesión anterior. Para saber cómo depurar este error, examina la solicitud y respuesta SAML obtenidas de los registros del encabezado HTTP capturados durante un intento de inicio de sesión.
"No se puede acceder a este servicio, porque tus credenciales de inicio de sesión todavía no son válidas. Inicia sesión e inténtalo de nuevo"

Por motivos de seguridad, el flujo de inicio de sesión único se debe completar en un plazo determinado; de lo contrario, se producirá un fallo en la autenticación. Si el reloj del proveedor de identidades no está ajustado correctamente, todos (o casi todos) los intentos de inicio de sesión parecerán encontrarse fuera del plazo aceptable, por lo que la autenticación fallará y se mostrará el mensaje de error anterior.

  • Comprueba el reloj del servidor de tu proveedor de identidades. En casi todos los casos, este error se debe a que el reloj del proveedor de identidades no está ajustado correctamente, lo que añade marcas de tiempo incorrectas a la respuesta SAML.
  • Vuelve a sincronizar el reloj del servidor del proveedor de identidades con un servidor de horario de Internet fiable. Cuando esta incidencia se produce repentinamente en un entorno de producción, suele deberse a un fallo en la última sincronización, lo que provoca que la hora del servidor sea inexacta. Repetir la sincronización horaria (con un servidor horario más fiable, si es posible) solucionará este problema rápidamente.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
17053662457974661103
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false