Hier zeigen wir Ihnen, wie Sie häufige Fehler beheben, die während der Integration oder Verwendung der SAML-basierten Einmalanmeldung (SSO) in Google Workspace auftreten können, wenn Google der Dienstanbieter (Serviceprovider, SP) ist.
Konfiguration und Aktivierung
„Diese Domain ist nicht zur Verwendung der Einmalanmeldung konfiguriert.“Diese Fehlermeldung weist in der Regel darauf hin, dass Sie eine alte kostenlose Version der G Suite verwenden. Die Einmalanmeldung wird in diesem Fall nicht unterstützt. Wenn Sie sicher sind, dass Sie eine Google Workspace-Version nutzen, bei der Sie die Einmalanmeldung verwenden können, prüfen Sie die Konfiguration Ihres Identitätsanbieters, ob Sie Ihren Google Workspace-Domainnamen richtig eingegeben haben.
Wenn dieser Fehler auftritt, nachdem Sie die SSO mit Profilen eingerichtet haben, geht Ihr IdP wahrscheinlich fälschlicherweise davon aus, dass Sie das SSO-Profil für Ihre Organisation verwenden. In diesem Fall können die Einstellungen des SSO-Profils Ihres IdPs möglicherweise nur zur Konfiguration des SSO-Profils für Ihre Organisation verwendet werden.
Diese Fehlermeldung weist darauf hin, dass Sie die Einmalanmeldung in der Google Admin-Konsole nicht korrekt eingerichtet haben. Führen Sie die folgenden Schritte durch, um den Fehler zu beheben:
- Wählen Sie in der Admin-Konsole Sicherheit
Einmalanmeldung (SSO) mit einem externen Identitätsanbieter einrichten aus und setzen Sie das Häkchen bei Einmalanmeldung (SSO) mit externem Identitätsanbieter einrichten.
- Geben Sie die URL für die Anmeldeseite, die Abmeldeseite und die Seite zur Passwortänderung Ihrer Organisation in den jeweiligen Feldern an.
- Wählen Sie eine Datei mit einem gültigen Bestätigungszertifikat aus und laden Sie sie hoch.
- Klicken Sie auf Speichern. Warten Sie anschließend einige Minuten, bis Ihre Änderungen wirksam werden, und testen Sie Ihre Integration danach noch einmal.
Einmalanmeldung (SSO) mit einem externen Identitätsanbieter einrichten aus und setzen Sie das Häkchen bei Einmalanmeldung (SSO) mit externem Identitätsanbieter einrichten.SAML-Antwort parsen
„Der erforderliche Anwortparameter SAMLResponse fehlte.“Diese Fehlermeldung gibt an, dass Ihr Identitätsanbieter keine gültige SAML-Antwort an Google sendet. Höchstwahrscheinlich liegt ein Problem mit der Konfiguration des Identitätsanbieters vor.
- Prüfen Sie die Protokolle des Identitätsanbieters auf Probleme, die die Übermittlung der SAML-Antwort behindern.
- Sorgen Sie dafür, dass der Identitätsanbieter keine verschlüsselte SAML-Antwort an Google Workspace sendet. In Google Workspace werden ausschließlich unverschlüsselte SAML-Antworten akzeptiert. Beachten Sie, dass beispielsweise in den Standardkonfigurationen von Microsoft Active Directory Federation Services 2.0 häufig verschlüsselte SAML-Antworten festgelegt sind.
Die SAML 2.0-Spezifikation sieht vor, dass der Identitätsanbieter den URL-Parameter RelayState von Ressourcenanbietern wie Google Workspace abruft und anschließend zurücksendet. Dieser Wert wird in der SAML-Anfrage von Google Workspace an den Identitätsanbieter gesendet. Der genaue Inhalt ändert sich bei jeder Anmeldung. Damit die Authentifizierung erfolgreich ist, muss der exakte RelayState-Wert in der SAML-Antwort angegeben werden. Gemäß der SAML-Standardspezifikation darf Ihr Identitätsanbieter den RelayState-Wert während der Anmeldung nicht verändern.
- Das Problem kann mithilfe der HTTP-Header, die bei einem Anmeldeversuch erscheinen, noch ausführlicher diagnostiziert werden. Extrahieren Sie den RelayState-Wert aus den HTTP-Headern der SAML-Anfrage und der SAML-Antwort. Diese RelayState-Werte sollten übereinstimmen.
- Die meisten Identitätsanbieter für die Einmalanmeldung, die kommerziell oder als Open-Source-Software verfügbar sind, übertragen den RelayState-Wert standardmäßig ohne Änderungen. Für eine optimale Sicherheit und Zuverlässigkeit empfehlen wir Ihnen, eine dieser offiziellen Lösungen zu verwenden. Für SSO-Software, die Sie selbst entwickelt haben, können wir keinen Support anbieten.
Inhalte der SAML-Antwort
„Auf den Dienst kann nicht zugegriffen werden, da Ihre Anmeldeanfrage ungültige [Destination|Audience|Recipient]-Daten enthielt. Melden Sie sich an und versuchen Sie es noch einmal.“Diese Fehlermeldung weist darauf hin, dass die Elemente Destination, Audience oder Recipient in der SAML-Assertion ungültige Informationen enthielten oder leer waren. Es müssen jedoch alle Elemente in der SAML-Assertion vorhanden sein. In der folgenden Tabelle finden Sie Beschreibungen und Beispiele für die einzelnen Elemente.
| Element | <Audience> |
|---|---|
| Beschreibung | Der URI, der die gewünschte Zielgruppe identifiziert, die den Wert von ACS-URI erfordert. Hinweis: Der Elementwert darf nicht leer sein. |
| Erforderlicher Wert | https://www.google.com/a/<example.com>/acs |
| Beispiel |
<saml:Conditions NotBefore="2014-11-05T17:31:37Z" |
| Element | Destination-Attribut des <StatusResponseType>-Typs |
|---|---|
| Beschreibung | Der URI, an den die SAML-Assertion gesendet wird. Das Attribut ist optional. Wenn es angegeben wird, ist dafür ein Wert des ACS-URI erforderlich. |
| Erforderlicher Wert | https://www.google.com/a/<example.com>/acs |
| Beispiel |
<saml:Response |
| Element | Recipient-Attribut von <SubjectConfirmationData> |
|---|---|
| Beschreibung |
|
| Erforderlicher Wert | https://www.google.com/a/<example.com>/acs |
| Beispiel |
<saml:Subject> |
Weitere Informationen zu allen erforderlichen Elementen finden Sie im Hilfeartikel Erforderliche SSO-Assertions.
Diese Fehlermeldung weist in der Regel darauf hin, dass die SAML-Antwort vom Identitätsanbieter keinen lesbaren Wert für Recipient enthält bzw. dass der Wert für Recipient in der SAML-Antwort nicht korrekt ist. Der Recipient-Wert ist eine wichtige Komponente der SAML-Antwort.
- Das Problem kann mithilfe der HTTP-Header, die bei einem Anmeldeversuch erscheinen, noch ausführlicher diagnostiziert werden.
- Extrahieren Sie die SAML-Anfrage und -Antwort aus den HTTP-Headern.
- Stellen Sie sicher, dass der Empfängerwert in der SAML-Antwort vorhanden ist und mit dem Empfängerwert der SAML-Anfrage übereinstimmt.
Hinweis: Diese Fehlermeldung erscheint möglicherweise auch in der Form „Auf diesen Dienst kann nicht zugegriffen werden, da Ihre Anmeldeanfrage ungültige Empfängerdaten enthielt. Melden Sie sich erneut an und versuchen Sie es noch einmal."
Diese Fehlermeldung weist auf ein Problem mit den Zertifikaten hin, die Sie für die Signaturerstellung im Rahmen der Authentifizierung verwenden. Häufig besteht das Problem darin, dass der private Schlüssel, der für die SAML-Antwort verwendet wurde, nicht zum Public-Key-Zertifikat passt, das bei Google Workspace hinterlegt ist.
Diese Fehlermeldung kann ebenfalls auftreten, wenn die SAML-Antwort keinen gültigen Nutzernamen eines Google-Kontos enthält. Die SAML-Antwort wird in Google Workspace im Hinblick auf ein XML-Element namens NameID geparst. Dabei wird erwartet, dass dieses Element einen Google Workspace-Nutzernamen oder eine vollständige Google Workspace-E-Mail-Adresse enthält.
- Prüfen Sie, ob Sie ein gültiges Zertifikat in Google Workspace hochgeladen haben, und ersetzen Sie es gegebenenfalls. Wählen Sie in der Google Admin-Konsole Sicherheit
- Wenn Sie im Element NameID eine vollständige E-Mail-Adresse verwenden – was erforderlich ist, falls Sie die Einmalanmeldung in einer Umgebung mit mehreren Domains verwenden –, dann sollte im Attribut Format des Elements NameID explizit angegeben werden, dass eine vollständige E-Mail-Adresse verwendet wird. Beispiel: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
- Das Element NameID sollte nur einen gültigen Nutzernamen oder eine gültige E-Mail-Adresse enthalten. Überprüfen Sie daher den Wert des Elements NameID in der SAML-Antwort, die Sie an Google Workspace senden.
- Bei NameID wird zwischen Groß- und Kleinschreibung unterschieden. In der SAML-Antwort für „NameID“ muss ein Wert eingetragen sein, der mit dem Namen des Google Workspace-Nutzernamens oder der Google Workspace-E-Mail-Adresse übereinstimmt.
- Falls die SAML-Assertion vom Identitätsanbieter verschlüsselt wird, sollten Sie die Verschlüsselung deaktivieren.
- Achten Sie darauf, dass die SAML-Antwort keine nicht standardmäßigen ASCII-Zeichen enthält. Dieses Problem tritt am häufigsten in den Attributen „DisplayName“, „GivenName“ und „Surname“ in „AttributeStatement“ auf. Beispiel:
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue> </Attribute> - <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
Weitere Informationen zum Formatieren des Elements NameID finden Sie im Hilfeartikel Erforderliche SSO-Assertions.
Aus Sicherheitsgründen muss die Einmalanmeldung innerhalb eines bestimmten Zeitfensters abgeschlossen werden; andernfalls wird die Authentifizierung fehlschlagen. Wenn Ihr Identitätsanbieter eine falsche Uhrzeit verwendet, liegen die meisten Anmeldeversuche außerhalb des gültigen Zeitfensters, sodass die Authentifizierung scheitert und die obige Fehlermeldung erscheinen wird.
- Stellen Sie sicher, dass der Server Ihres Identitätsanbieters die korrekte Uhrzeit verwenden. Diese Fehlermeldung deutet höchstwahrscheinlich darauf hin, dass der Identitätsanbieter eine falsche Uhrzeit verwendet. Dadurch wird die SAML-Antwort mit einem fehlerhaften Zeitstempel versehen.
- Synchronisieren Sie die Uhrzeit des betreffenden Servers noch einmal mit einem zuverlässigen Internetzeitserver. Falls dieses Problem plötzlich in einer Produktionsumgebung auftritt, ist dies häufig darauf zurückführen, dass die letzte Zeitsynchronisierung fehlgeschlagen ist und der Server daher eine falsche Uhrzeit verwendet. Sie können das Problem beheben, indem Sie die Uhrzeit noch einmal (mit einem zuverlässigen Zeitserver) synchronisieren.
- Dieses Problem kann ebenfalls auftreten, wenn Sie die SAML-Informationen aus einem vorherigen Anmeldeversuch noch einmal senden. Die SAML-Anfrage und die SAML-Antwort, deren Werte Sie den HTTP-Headerprotokollen im Rahmen eines Anmeldeversuchs entnehmen können, bieten weitere Informationen zur Fehlerbehebung.
Aus Sicherheitsgründen muss die Einmalanmeldung innerhalb eines bestimmten Zeitfensters abgeschlossen werden; andernfalls wird die Authentifizierung fehlschlagen. Wenn Ihr Identitätsanbieter eine falsche Uhrzeit verwendet, liegen die meisten Anmeldeversuche außerhalb des gültigen Zeitfensters, sodass die Authentifizierung scheitert und die obige Fehlermeldung erscheinen wird.
- Stellen Sie sicher, dass der Server Ihres Identitätsanbieters die korrekte Uhrzeit verwenden. Diese Fehlermeldung deutet höchstwahrscheinlich darauf hin, dass der Identitätsanbieter eine falsche Uhrzeit verwendet. Dadurch wird die SAML-Antwort mit einem fehlerhaften Zeitstempel versehen.
- Synchronisieren Sie die Uhrzeit des betreffenden Servers noch einmal mit einem zuverlässigen Internetzeitserver. Falls dieses Problem plötzlich in einer Produktionsumgebung auftritt, ist dies häufig darauf zurückführen, dass die letzte Zeitsynchronisierung fehlgeschlagen ist und der Server daher eine falsche Uhrzeit verwendet. Sie können das Problem beheben, indem Sie die Uhrzeit noch einmal (mit einem zuverlässigen Zeitserver) synchronisieren.
