إشعار

تم تغيير اسم Duet AI إلى "Gemini في Google Workspace". مزيد من المعلومات

تحديد مشاكل خدمة "الدخول الموحّد" وحلّها

يتناول هذا المستند خطوات حلّ رسائل الخطأ الشائعة التي تظهر لك أثناء دمج خدمة الدخول الموحّد (SSO) المستندة إلى معيار SAML‏ في Google Workspace أو أثناء استخدامها عندما تكون Google هي مقدِّم الخدمة (SP).

الضبط والتفعيل

"لم يتم ضبط هذا النطاق على استخدام خدمة "الدخول المُوحَّد"".

يشير هذا الخطأ عادةً إلى أنك تحاول استخدام خدمة "الدخول المُوحَّد" مع إصدار عادي (مجاني) من G Suite، وهذا الإصدار لا يوفّر خدمة "الدخول المُوحَّد". إذا كنت متأكدًا من أنك تستخدم إصدار Google Workspace يتيح خدمة "الدخول المُوحَّد"، تحقَّق من الإعدادات الخاصة بموفِّر الهوية للتأكُّد من إدخال اسم نطاقك على Google Workspace بشكلٍ صحيح.

إذا واجهت هذا الخطأ بعد إعداد الدخول الموحّد (SSO) باستخدام الملفات الشخصية، من المحتمل أن موفِّر الهوية (IdP) يفترض بشكلٍ غير صحيح أنك تستخدم الملف الشخصي للدخول المُوحَّد (SSO) لمؤسستك. وفي هذه الحالة، قد تكون إعدادات الملف الشخصي للدخول المُوحَّد (SSO) لموفِّر الهوية قابلة للاستخدام فقط في حال استخدامها لإعداد الملف الشخصي للدخول المُوحَّد (SSO) لمؤسستك.

"لا يمكن الوصول إلى هذا الحساب بسبب عدم إعداد النطاق بشكل صحيح. يُرجى إعادة المحاولة في وقتٍ لاحق".

يشير هذا الخطأ إلى أنه لم يتم إعداد "الدخول المُوحَّد" بشكل صحيح في وحدة تحكُّم المشرف في Google. يُرجى مراجعة الخطوات التالية لتصحيح هذا الوضع:

  1. في وحدة تحكُّم المشرف، انتقِل إلى الأمانثمإعداد الدخول المُوحَّد (SSO) مع موفِّر هوية الجهات الخارجية، وضَع علامة في المربّع إعداد الدخول المُوحَّد (SSO) باستخدام موفِّر هوية الجهات الخارجية.
  2. أدخِل عناوين URL لصفحة تسجيل الدخول والخروج وصفحة تغيير كلمة المرور لمؤسستك في الحقول المناسبة.
  3. اختَر ملف شهادة تحقّق صالحًا وحمِّله.
  4. انقر على حفظ، ثم انتظر بضع دقائق حتى تصبح التغييرات سارية المفعول، واختبر الدمج مرة أخرى.

تحليل استجابة SAML

"مَعلمة الاستجابة المطلوبة SAMLResponse مفقودة"

تشير رسالة الخطأ هذه إلى أن خدمة "موفِّر الهوية" لم تقدّم إلى Google استجابة SAML صالحة من أي نوع. هناك احتمال كبير أن تظهر هذه المشكلة نتيجةً لمشكلة في الإعداد لدى موفّر الهوية.

  • تحقَّق من سجلات "موفِّر الهوية" وتأكَّد من أنّ ليس هناك ما يمنع من عرض استجابة SAML بشكل صحيح.
  • تأكد من أن "موفِّر الهوية" لم يرسل استجابة SAML مشفّرة إلى Google Workspace. لا تقبل خدمة Google Workspace سوى استجابات SAML غير المشفّرة. وبشكلِ خاص، يُرجى ملاحظة أن برنامجActive Directory Federation Services 2.0 التابع لـ Microsoft يرسل في كثير من الأحيان استجابات SAML مشفرة في عمليات الإعداد التلقائية.
"مَعلمة الاستجابة المطلوبة RelayState مفقودة"

تتطلب مواصفات SAML 2.0 من موفّري الهوية استرداد معلمة عنوان URL ‏‏RelayState من موفّري الموارد (مثل Google Workspace) وإعادة إرسالها. وتوفر Google Workspace هذه القيمة إلى "موفّر الهوية" في طلب SAML، وقد يختلف المحتوى بعينه في كل عملية تسجيل دخول. ولإكمال المصادقة بنجاح، يجب ظهور RelayState بالتحديد في استجابة SAML. وفقًا لمواصفات SAML العادية، يجب ألا تعدّل خدمة "موفِّر الهوية" RelayState أثناء إجراءات تسجيل الدخول.

  • يمكنك تشخيص هذه المشكلة على نطاق أوسع من خلال التقاط عناوين HTTP أثناء محاولة تسجيل الدخول. يمكنك استخراج RelayState‏ من رؤوس HTTP مع كل من طلب واستجابة SAML والتأكد من أن قيم RelayState‏ في الطلب والاستجابة متطابقة.
  • ينقل معظم موفّري هوية الدخول الموحّد (SSO) المتاحة تجاريًا أو مفتوحة المصدر RelayState‏ بسلاسة بشكل تلقائي. لتحقيق أقصى قدر من الأمان والموثوقية، ننصحك باستخدام أحد هذه الحلول المتوفرة حاليًا، ولن نتمكن من تقديم دعم لبرنامج الدخول الموحّد (SSO) المخصص الذي تستخدمه.

محتوى استجابة SAML

لا يمكن الوصول إلى هذه الخدمة لأنّ طلب تسجيل الدخول يحتوي على معلومات غير صالحة حول [الوجهة|الجمهور|المستلم]. يُرجى تسجيل الدخول وإعادة المحاولة".

يشير هذا الخطأ إلى احتواء عناصر الوجهة، أو الجمهور أو المستلم في تأكيد SAML على معلومات غير صالحة أو عدم احتوائهما على أي معلومات. ويجب تضمين جميع العناصر في تأكيد SAML. راجع الجدول التالي للحصول على أوصاف وأمثلة لكل عنصر.

العنصر <Audience>
الوصف عبارة عن معرف موارد منتظم (URI) يُحدِّد الجمهور المقصود الذي يتطلَّب قيمة معرف الموارد المنتظم (URI) لخدمة ACS. ملاحظة: لا يمكن أن تكون قيمة العنصر فارغة.
القيمة المطلوبة https://www.google.com/a/<example.com>/acs
مثال

<saml:Conditions NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

 

العنصر سمة الوجهة لنوع <StatusResponseType>
الوصف مُعرِّف الموارد المنتظم (URI) الذي يتم إرسال تأكيد SAML إليه. اختياري: إذا تم الإعلان عن السمة، ستحتاج إلى قيمة لمعرِّف الموارد المنتظم (URI) لخدمة ACS.
القيمة المطلوبة https://www.google.com/a/<example.com>/acs
مثال

<saml:Response
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhhoehbokhbkeapbbinldpeen">

 

العنصر سمة "المستلِم" في <SubjectConfirmationData>
 
الوصف
  • تحدّد الكيان المقصود بتلقِّي الموضوع
  • هي سمة مطلوبة، يجب أن تحتوي على معرف الموارد المنتظم (URI) لـ ACS
  • حساسة لحالة الأحرف.
القيمة المطلوبة https://www.google.com/a/<example.com>/acs
مثال

<saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"/>
</saml:SubjectConfirmation> 
</saml:Subject>

للحصول على تفاصيل بشأن جميع العناصر المطلوبة، يُرجى مراجعة المقالة متطلبات تأكيد خدمة "الدخول الموحّد" (SSO).

"لا يمكن الوصول إلى هذه الخدمة لأن طلب تسجيل الدخول لا يحتوي على معلومات عن المستلم. يرجى تسجيل الدخول والمحاولة مرة أخرى."

يشير هذا الخطأ عادة إلى أن استجابة SAML الواردة من موفّر الهوية تفتقر إلى قيمة مستلم قابلة للقراءة (أو أن قيمة المستلم غير صحيحة). وقيمة المستلِم هي مكوِّن مهم من استجابة SAML.

  1. يمكنك تشخيص هذه المشكلة على نطاق أوسع من خلال التقاط عناوين HTTP أثناء محاولة تسجيل الدخول.
  2. يمكنك استخراج طلب واستجابة SAML من عناوين HTTP.
  3. تأكد من أن قيمة المستلم في استجابة SAML موجودة وأنها تتطابق مع القيمة الموجودة في طلب SAML.

ملاحظة: قد تظهر رسالة الخطأ هذه أيضًا كما يلي: "لا يمكن الدخول إلى هذه الخدمة لأن طلب تسجيل الدخول يحتوي على معلومات مستلم غير صالحة. يُرجى تسجيل الدخول وإعادة المحاولة".

"لا يمكن الوصول إلى هذا الحساب بسبب عدم إمكانية التحقّق من بيانات اعتماد تسجيل الدخول."

يشير هذا الخطأ إلى وجود مشكلة في الشهادات التي تستخدمها للتوقيع على إجراءات المصادقة. ويعني ذلك عادةً أن المفتاح الخاص المستخدَم للتوقيع على استجابة SAML لا يتطابق مع شهادة المفتاح العام المحفوظة لدى Google Workspace في ملف.

ويمكن أن يحدث ذلك أيضًا إذا لم تحتوي استجابة SAML على اسم مستخدم صالح في حسابات Google. تُحلِّل Google Workspace استجابة SAML لعنصر XML المُسمى NameID، وتتوقع أن يحتوي هذا العنصر على اسم مستخدم Google Workspace أو عنوان بريد إلكتروني كامل على Google Workspace.

  • تأكَّد من تحميل شهادة صالحة إلى Google Workspace، واستبدِل الشهادة إذا لزم الأمر. في وحدة تحكُّم المشرف في Google، انتقِل إلى الأمانثمإعداد الدخول المُوحَّد (SSO) باستخدام موفِّر هوية تابع لجهة خارجية وانقر على استبدال الشهادة.
  • إذا كنت تستخدم عنوان بريد إلكتروني كاملاً في العنصر NameID (يجب استخدامه في حال استخدام "الدخول المُوحَّد" في بيئة تطبيقات متعدّدة النطاقات)، عليك التأكَّد من أنّ سمة Format للعنصر NameID تحدّد أنه يجب استخدام عنوان بريد إلكتروني كامل، كما في المثال التالي: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
  • تأكَّد من تعبئة حقل العنصر NameID باسم مستخدم أو عنوان بريد إلكتروني صالح. ولكي تتأكّد من ذلك، يمكنك استخراج استجابة SAML التي ترسلها إلى Google Workspace، والتحقّق من قيمة العنصر NameID.
  • NameID حسّاس لحالة الأحرف: تأكّد من تعبئة استجابة SAML لحقل NameID بقيمة تتطابق مع حالة اسم مستخدم Google Workspace أو عنوان بريده الإلكتروني. 
  • إذا كانت خدمة "موفِّر الهوية" تشفِّر تأكيد SAML، ما عليك سوى إيقاف ذلك التشفير.
  • تأكَّد من أنّ استجابة SAML لا تتضمن أي أحرف ASCII غير عادية. تحدث هذه المشكلة عمومًا في السمات DisplayName وGivenName وSurname في AttributeStatement، على سبيل المثال:
    • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
      <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
    • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
      <AttributeValue>Blüte</AttributeValue> </Attribute>

للتعرُّف على مزيد من المعلومات عن كيفية تنسيق عنصر NameID، يُرجى الاطّلاع على متطلبات تأكيد خدمة "الدخول الموحّد" (SSO).

"لا يمكن الوصول إلى هذه الخدمة بسبب انتهاء صلاحية بيانات اعتماد تسجيل الدخول. يُرجى تسجيل الدخول وإعادة المحاولة."

لأسباب أمنية، يجب إكمال إجراءات تسجيل الدخول في خدمة الدخول الموحّد (SSO) ضمن إطار زمني معين، وإلا فستفشل عملية المصادقة. إذا كانت الساعة المعروضة في موفّر الهوية غير صحيحة، ستبدو معظم أو جميع محاولات تسجيل الدخول أنها خارج الإطار الزمني المقبول، وستتعذر المصادقة وتظهر رسالة الخطأ أعلاه.

  • تحقق من الساعة المعروضة في خادم موفّر الهوية. يحدث هذا الخطأ عادة عندما لا تكون ساعة موفّر الهوية صحيحة، وبذلك تتم إضافة طوابع زمنية غير صحيحة إلى استجابة SAML.
  • أعد مزامنة ساعة خادم موفّر الهوية مع خادم توقيت موثوق به على الإنترنت. عند حدوث هذه المشكلة فجأة في بيئة إنتاج، فهي في العادة ناتجة عن تعذّر المزامنة الأخيرة، ما يؤدي إلى عدم دقة الخادم. يؤدي تكرار مزامنة الوقت (مع خادم توقيت أكثر موثوقية) إلى حل هذه المشكلة بسرعة.
  • قد تحدث هذه المشكلة أيضًا إذا كنت تعيد إرسال SAML من محاولة تسجيل دخول سابقة. يمكن أن يساعدك فحص طلب واستجابة SAML (اللذان تم الحصول عليهما من سجلات عنوان HTTP التي تم التقاطها أثناء محاولة تسجيل الدخول) في تصحيح هذا الخطأ إلى حد كبير.
"لا يمكن الوصول إلى هذه الخدمة لأن بيانات اعتماد تسجيل الدخول غير صالحة حتى الآن. يُرجى تسجيل الدخول والمحاولة مرة أخرى."

لأسباب أمنية، يجب إكمال إجراءات تسجيل الدخول في خدمة الدخول الموحّد (SSO) ضمن إطار زمني معين، وإلا فستفشل عملية المصادقة. إذا كانت الساعة المعروضة في موفّر الهوية غير صحيحة، ستبدو معظم أو جميع محاولات تسجيل الدخول أنها خارج الإطار الزمني المقبول، وستتعذر المصادقة وتظهر رسالة الخطأ أعلاه.

  • تحقق من الساعة المعروضة في خادم موفّر الهوية. يحدث هذا الخطأ عادة عندما لا تكون ساعة موفّر الهوية صحيحة، وبذلك تتم إضافة طوابع زمنية غير صحيحة إلى استجابة SAML.
  • أعد مزامنة ساعة خادم موفّر الهوية مع خادم توقيت موثوق به على الإنترنت. عند حدوث هذه المشكلة فجأة في بيئة إنتاج، فهي في العادة ناتجة عن تعذّر المزامنة الأخيرة، ما يؤدي إلى عدم دقة الخادم. يؤدي تكرار مزامنة الوقت (مع خادم توقيت أكثر موثوقية) إلى حل هذه المشكلة بسرعة.

هل كان ذلك مفيدًا؟

كيف يمكننا تحسينها؟

هل تحتاج إلى مزيد من المساعدة؟

جرِّب الخطوات التالية:

النشر على منتدى المساعدة الحصول على إجابات من أعضاء المنتدى
اتصل بنا أخبرنا بالمزيد لكي نتمكّن من مساعدتك.
true
ابدأ اليوم فترة تجريبية مجانية لمدة 14 يومًا

بريد إلكتروني احترافي وإمكانية تخزين عبر الإنترنت وتقاويم مشتركة واجتماعات فيديو والمزيد. ابدأ اليوم استخدام الإصدار التجريبي المجاني من G Suite‏.

بحث
محو البحث
إغلاق البحث
القائمة الرئيسية
9051205817101064655
true
مركز مساعدة البحث
true
true
true
true
true
73010
false
false