Fehlerbehebung bei der Einmalanmeldung (SSO)

Dieses Dokument enthält Schritte zur Behebung häufiger Fehler, die während der Integration oder Verwendung der SAML-basierten Einmalanmeldung (SSO) mit Google Workspace auftreten können, wenn Google der Dienstanbieter ist.

Konfiguration und Aktivierung

"Diese Domain ist nicht zur Verwendung der Einmalanmeldung konfiguriert."

Diese Fehlermeldung weist in der Regel darauf hin, dass Sie eine kostenlose Version der G Suite verwenden. Die Einmalanmeldung (SSO) wird in diesem Fall nicht unterstützt. Wenn Sie sicher sind, dass Sie eine Google Workspace-Version verwenden, die die Einmalanmeldung (SSO) erlaubt, prüfen Sie die Konfiguration Ihres Identitätsanbieters, um sicherzustellen, dass Sie Ihren Google Workspace-Domainnamen richtig eingegeben haben.

Auf dieses Konto kann nicht zugegriffen werden, da die Domain nicht richtig konfiguriert ist. Bitte versuchen Sie es später noch einmal.

Diese Fehlermeldung weist darauf hin, dass Sie die SSO in der Google Admin-Konsole nicht korrekt eingerichtet haben. Führen Sie die folgenden Schritte durch, um den Fehler zu beheben:

  1. Wählen Sie in der Admin-Konsole Sicherheitund dannEinmalanmeldung (SSO) mit einem externen Identitätsanbieter einrichten aus und klicken Sie auf das Kästchen Einmalanmeldung (SSO) mit externem Identitätsanbieter einrichten.
  2. Geben Sie die URL für die Anmeldeseite, die Abmeldeseite und die Seite zur Passwortänderung Ihrer Organisation in den jeweiligen Feldern an.
  3. Wählen Sie eine Datei mit einem gültigen Bestätigungszertifikat aus und laden Sie sie hoch.
  4. Klicken Sie auf Speichern. Warten Sie anschließend einige Minuten, bis Ihre Änderungen wirksam werden, und testen Sie Ihre Integration danach noch einmal.

SAML-Antwort parsen

Der erforderliche Anwortparameter SAMLResponse fehlte.

Diese Fehlermeldung gibt an, dass Ihr Identitätsanbieter keine gültige SAML-Antwort an Google sendet. Höchstwahrscheinlich liegt ein Problem mit der Konfiguration des Identitätsanbieters vor.

  • Prüfen Sie die Protokolle des Identitätsanbieters auf Probleme, die die Übermittlung der SAML-Antwort behindern.
  • Stellen Sie sicher, dass der Identitätsanbieter keine verschlüsselte SAML-Antwort an Google Workspace sendet. In Google Workspace werden ausschließlich unverschlüsselte SAML-Antworten akzeptiert. Beachten Sie, dass beispielsweise in den Standardkonfigurationen von Active Directory-Verbunddiensten 2.0 häufig verschlüsselte SAML-Antworten festgelegt sind.
„Der erforderliche Antwortparameter RelayState fehlte.“

Die SAML 2.0-Spezifikation sieht vor, dass der Identitätsanbieter einen RelayState-URL-Parameter von Ressourcenanbietern wie der Google Workspace abruft und anschließend zurücksendet. Dieser Wert wird in der SAML-Anfrage von Google Workspace an den Identitätsanbieter gesendet. Der genaue Inhalt ändert sich bei jeder Anmeldung. Damit die Authentifizierung erfolgreich ist, muss der exakte RelayState-Wert in der SAML-Antwort angegeben werden. Gemäß der SAML-Standardspezifikation darf Ihr Identitätsanbieter den RelayState-Wert während der Anmeldung nicht verändern.

  • Das Problem kann mithilfe der HTTP-Header, die bei einem Anmeldeversuch erscheinen, noch ausführlicher diagnostiziert werden. Extrahieren Sie den RelayState-Wert aus den HTTP-Headern der SAML-Anfrage und der SAML-Antwort. Diese RelayState-Werte sollten übereinstimmen.
  • Die meisten Identitätsanbieter für die Einmalanmeldung (SSO), die kommerziell oder als Open-Source-Software verfügbar sind, übertragen den RelayState-Wert standardmäßig ohne Änderungen. Für eine optimale Sicherheit und Zuverlässigkeit empfehlen wir Ihnen, eine dieser offiziellen Lösungen zu verwenden. Für SSO-Software, die Sie selbst entwickelt haben, können wir keinen Support anbieten.

Inhalte der SAML-Antwort

Auf den Dienst kann nicht zugegriffen werden, da Ihre Anmeldeanfrage ungültige [Destination|Audience|Recipient]-Daten enthielt. Melden Sie sich an und versuchen Sie es noch einmal.

Diese Fehlermeldung weist darauf hin, dass die Elemente DestinationAudience oder Recipient in der SAML-Assertion ungültige Informationen enthielten oder leer waren. Es müssen jedoch alle Elemente in der SAML-Assertion vorhanden sein. In der folgenden Tabelle finden Sie Beschreibungen und Beispiele für die einzelnen Elemente.

Element <Audience>
Beschreibung Der URI, der die gewünschte Zielgruppe identifiziert, die den Wert von ACS-URI erfordert. Hinweis: Der Wert des Elements darf nicht leer sein.
Erforderlicher Wert https://www.google.com/a/<example.com>/acs
Beispiel

<saml:Conditions NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

 

Element Destination-Attribut des <StatusResponseType>-Typs
Beschreibung Der URI, an den die SAML-Assertion gesendet wird. Das Attribut ist optional. Wenn es angegeben wird, ist dafür ein Wert des ACS-URI erforderlich.
Erforderlicher Wert https://www.google.com/a/<example.com>/acs
Beispiel

<saml:Response
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhhoehbokhbkeapbbinldpeen">

 

Element Recipient-Attribut von <SubjectConfirmationData>
 
Beschreibung
  • Definiert die Entität, die diesen Betreff empfangen soll.
  • Erforderliches Attribut, das den ACS-URI enthalten muss.
  • Groß- und Kleinschreibung wird berücksichtigt.
Erforderlicher Wert https://www.google.com/a/<example.com>/acs
Beispiel

<saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email">user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"/>
</saml:SubjectConfirmation> 
</saml:Subject>

Weitere Informationen zu allen erforderlichen Elementen finden Sie im Hilfeartikel Erforderliche SSO-Assertions.

Auf diesen Dienst kann nicht zugegriffen werden, da Ihre Anmeldeanfrage keine Recipient-Daten enthielt. Melden Sie sich an und versuchen Sie es noch einmal.

Diese Fehlermeldung weist in der Regel darauf hin, dass die SAML-Antwort vom Identitätsanbieter keinen lesbaren Wert für Recipient enthält bzw. dass der Wert für Recipient in der SAML-Antwort nicht korrekt ist. Der Recipient-Wert ist eine wichtige Komponente der SAML-Antwort.

  1. Das Problem kann mithilfe der HTTP-Header, die bei einem Anmeldeversuch erscheinen, noch ausführlicher diagnostiziert werden.
  2. Extrahieren Sie die SAML-Anfrage und -Antwort aus den HTTP-Headern.
  3. Stellen Sie sicher, dass der Wert Recipient in der SAML-Antwort vorhanden ist und mit dem der SAML-Anfrage übereinstimmt.

Hinweis: Diese Fehlermeldung erscheint möglicherweise auch in der Form "Auf diesen Dienst kann nicht zugegriffen werden, da Ihre Anmeldeanfrage ungültige Empfängerdaten enthielt. Melden Sie sich an und versuchen Sie es erneut."

Auf dieses Konto kann nicht zugegriffen werden, da die Anmeldeinformationen nicht verifiziert werden konnten.

Diese Fehlermeldung weist auf ein Problem mit den Zertifikaten hin, die Sie für die Signaturerstellung im Rahmen der Authentifizierung verwenden. Häufig besteht das Problem darin, dass der private Schlüssel, der für die SAML-Antwort verwendet wurde, nicht zum Public-Key-Zertifikat passt, das bei Google Workspace hinterlegt ist.

Diese Fehlermeldung kann ebenfalls auftreten, wenn die SAML-Antwort keinen gültigen Nutzernamen eines Google-Kontos enthält. Die SAML-Antwort wird in Google Workspace im Hinblick auf ein XML-Element namens NameID geparst. Dabei wird erwartet, dass dieses Element einen Google Workspace-Nutzernamen oder eine vollständige Google Workspace-E-Mail-Adresse enthält.

  • Prüfen Sie, ob Sie ein gültiges Zertifikat in Google Workspace hochgeladen haben, und ersetzen Sie es gegebenenfalls. Wählen Sie in der Google Admin-Konsole Sicherheitund dannEinmalanmeldung (SSO) mit einem externen Identitätsanbieter einrichten aus und klicken Sie auf Zertifikat ersetzen.
  • Wenn Sie im Element NameID eine vollständige E-Mail-Adresse verwenden – was erforderlich ist, falls Sie die Einmalanmeldung in einer App-Umgebung mit mehreren Domains verwenden –, dann sollte im Attribut Format des Elements NameID explizit angegeben werden, dass eine vollständige E-Mail-Adresse verwendet wird. Beispiel: Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
  • Das Element NameID sollte nur einen gültigen Nutzernamen oder eine gültige E-Mail-Adresse enthalten. Überprüfen Sie daher den Wert des Elements NameID in der SAML-Antwort, die Sie an Google Workspace senden.
  • Falls die SAML-Assertion vom Identitätsanbieter verschlüsselt wird, sollten Sie die Verschlüsselung deaktivieren.
  • Achten Sie darauf, dass die SAML-Antwort keine nicht standardmäßigen ASCII-Zeichen enthält. Dieses Problem tritt am häufigsten in den Attributen "DisplayName", "GivenName" und "Surname" in "AttributeStatement" auf. Beispiel:
    • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
      <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
    • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
      <AttributeValue>Blüte</AttributeValue> </Attribute>
Auf diesen Dienst kann nicht zugegriffen werden, da Ihre Anmeldedaten abgelaufen sind. Melden Sie sich an und versuchen Sie es noch einmal.

Aus Sicherheitsgründen muss die Einmalanmeldung (SSO) innerhalb eines bestimmten Zeitfensters abgeschlossen werden; andernfalls wird die Authentifizierung fehlschlagen. Wenn Ihr Identitätsanbieter eine falsche Uhrzeit verwendet, liegen die meisten Anmeldeversuche außerhalb des gültigen Zeitfensters, sodass die Authentifizierung scheitert und die obige Fehlermeldung erscheinen wird.

  • Stellen Sie sicher, dass der Server Ihres Identitätsanbieters die korrekte Uhrzeit verwenden. Diese Fehlermeldung deutet höchstwahrscheinlich darauf hin, dass der Identitätsanbieter eine falsche Uhrzeit verwendet. Dadurch wird die SAML-Antwort mit einem fehlerhaften Zeitstempel versehen.
  • Synchronisieren Sie die Uhrzeit des betreffenden Servers mit einem zuverlässigen Internetzeitserver. Falls dieses Problem plötzlich in einer Produktionsumgebung auftritt, ist dies häufig darauf zurückführen, dass die letzte Zeitsynchronisierung fehlgeschlagen ist und der Server daher eine falsche Uhrzeit verwendet. Sie können das Problem beheben, indem Sie die Uhrzeit erneut synchronisieren (nach Möglichkeit mit einem verlässlicheren Zeitserver).
  • Dieses Problem kann ebenfalls auftreten, wenn Sie die SAML-Informationen aus einem vorherigen Anmeldeversuch erneut senden. Die SAML-Anfrage und die SAML-Antwort, deren Werte Sie den HTTP-Headerprotokollen im Rahmen eines Anmeldeversuchs entnehmen können, bieten weitere Informationen zur Fehlerbehebung.
Der Zugriff auf diesen Service ist nicht möglich, da Ihre Anmeldeinformationen noch nicht gültig sind. Melden Sie sich an und versuchen Sie es noch einmal.

Aus Sicherheitsgründen muss die Einmalanmeldung (SSO) innerhalb eines bestimmten Zeitfensters abgeschlossen werden; andernfalls wird die Authentifizierung fehlschlagen. Wenn Ihr Identitätsanbieter eine falsche Uhrzeit verwendet, liegen die meisten Anmeldeversuche außerhalb des gültigen Zeitfensters, sodass die Authentifizierung scheitert und die obige Fehlermeldung erscheinen wird.

  • Stellen Sie sicher, dass der Server Ihres Identitätsanbieters die korrekte Uhrzeit verwenden. Diese Fehlermeldung deutet höchstwahrscheinlich darauf hin, dass der Identitätsanbieter eine falsche Uhrzeit verwendet. Dadurch wird die SAML-Antwort mit einem fehlerhaften Zeitstempel versehen.
  • Synchronisieren Sie die Uhrzeit des betreffenden Servers mit einem zuverlässigen Internetzeitserver. Falls dieses Problem plötzlich in einer Produktionsumgebung auftritt, ist dies häufig darauf zurückführen, dass die letzte Zeitsynchronisierung fehlgeschlagen ist und der Server daher eine falsche Uhrzeit verwendet. Sie können das Problem beheben, indem Sie die Uhrzeit noch einmal synchronisieren – nach Möglichkeit mit einem verlässlicheren Zeitserver.
War das hilfreich?
Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Anmelden, um weitere Supportoptionen zu erhalten und das Problem schnell zu beheben