Risolvere i problemi relativi al Single Sign-On (SSO)

Questo messaggio di errore indica in genere che stai tentando di utilizzare il servizio Single Sign-On con una versione precedente (senza costi aggiuntivi) di G Suite, che non supporta l'accesso SSO. Se hai la certezza che la versione di Google Workspace che utilizzi supporta SSO, verifica la configurazione nel tuo provider di identità per assicurarti di aver inserito correttamente il nome del dominio Google Workspace.

Se riscontri questo errore dopo aver configurato il servizio SSO utilizzando i profili, è probabile che il tuo IdP supponga erroneamente che tu stia utilizzando il profilo SSO per la tua organizzazione. In questo caso, le impostazioni del profilo SSO dell'IdP potrebbero essere utilizzabili solo se le utilizzi per configurare il profilo SSO per la tua organizzazione.

Questo messaggio di errore indica che il servizio SSO non è stato configurato correttamente nella Console di amministrazione Google. Esegui i seguenti passaggi per risolvere il problema:

1. Nella Console di amministrazione, vai a SicurezzaConfigura il Single Sign-On (SSO) con un provider di identità di terze parti e seleziona Configura SSO con provider di identità di terze parti.
2. Inserisci gli URL per le pagine di accesso, uscita e modifica della password della tua organizzazione nei campi corrispondenti.
3. Scegli e carica un file di certificato di verifica valido.
4. Fai clic su Salva e attendi alcuni minuti affinché le modifiche abbiano effetto, quindi verifica di nuovo l'integrazione.

Nelle applicazioni iOS, quando l'URL della pagina di accesso SSO inizia con "google." (o una sua variante), l'app Google per iOS viene reindirizzata a Safari. Questo comportamento causa un errore del processo SSO. Di seguito è riportato l'elenco completo dei prefissi da non utilizzare:

• googl.
• google.
• www.googl.
• www.google.

Tutti gli URL della pagina di accesso SSO che contengono questi prefissi devono essere modificati.

Questo messaggio di errore indica che il provider di identità non fornisce a Google alcuna risposta SAML valida. Ciò è quasi certamente dovuto a un problema di configurazione del provider di identità.

• Esamina i log del provider di identità e assicurati che non vi siano problemi che impediscono la corretta restituzione della risposta SAML.
• Accertati che il tuo provider di identità non stia inviando a Google Workspace una risposta SAML criptata. Google Workspace accetta solo risposte SAML non criptate. In particolare, tieni presente che il server Active Directory Federation Services 2.0 di Microsoft, quando viene utilizzato in configurazioni predefinite, invia spesso risposte SAML criptate.

La specifica SAML 2.0 richiede che i provider di identità recuperino e restituiscano un parametro URL RelayState dai provider di risorse quali, ad esempio, Google Workspace. Google Workspace fornisce questo valore al provider di identità all'interno della richiesta SAML e l'esatto contenuto può essere diverso a ogni accesso. Per il corretto completamento dell'autenticazione, nella risposta SAML deve essere restituito il contenuto esatto del parametro RelayState. In base alla specifica standard SAML, il tuo provider di identità non dovrebbe modificare il parametro RelayState durante il flusso di accesso.

• Per diagnosticare ulteriormente questo problema, è necessario acquisire le intestazioni HTTP durante un tentativo di accesso. Estrai il parametro RelayState dalle intestazioni HTTP sia con la richiesta sia con la risposta SAML e assicurati che i valori di RelayState nella richiesta e nella risposta corrispondano.
• Per impostazione predefinita, la maggior parte dei provider di identità SSO disponibili sul mercato oppure open source trasmette senza problemi il parametro RelayState. Per una sicurezza e un'affidabilità ottimali, consigliamo di utilizzare una delle soluzioni esistenti; non siamo in grado di offrire assistenza per il tuo software SSO personalizzato.

Questo errore indica che gli elementi destination, audience o recipient dell'asserzione SAML contenevano dati non validi o erano vuoti. Tutti gli elementi devono essere inclusi nell'asserzione SAML. Consulta le seguenti tabelle nella sezione Requisiti per l'asserzione SSO per le descrizioni e gli esempi relativi a ciascun elemento:

• Utilizzare elementi e attributi: profili SSO
• Utilizzare elementi e attributi: profilo SSO legacy

Questo errore di solito indica che la risposta SAML restituita dal provider di identità non contiene un valore Recipient leggibile (o che il valore Recipient non è corretto). Il valore Recipient è una componente importante della risposta SAML.

1. Per diagnosticare ulteriormente questo problema, è necessario acquisire le intestazioni HTTP durante un tentativo di accesso.
2. Estrai la richiesta e la risposta SAML dalle intestazioni HTTP.
3. Assicurati che il valore Recipient nella risposta SAML sia esistente e che corrisponda al valore nella richiesta SAML.

Nota: è possibile che questo messaggio di errore venga visualizzato come "Impossibile accedere al servizio perché la richiesta di accesso contiene informazioni sul destinatario non valide. Esegui l'accesso e riprova".

Questo messaggio di errore indica un problema con i certificati che utilizzi per firmare il flusso di autenticazione. Di solito significa che la chiave privata utilizzata per firmare la risposta SAML non corrisponde al certificato di chiave pubblica archiviato da Google Workspace.

Questo messaggio di errore potrebbe anche indicare che la risposta SAML non contiene un nome utente di Account Google utilizzabile. Google Workspace analizza la risposta SAML al fine di individuare un elemento XML denominato NameID e il contenuto previsto di questo elemento è un nome utente Google Workspace o un indirizzo email di Google Workspace completo.

• Assicurati di aver caricato un certificato valido in Google Workspace e, se necessario, sostituiscilo. Nella Console di amministrazione Google, vai a SicurezzaConfigura il Single Sign-On (SSO) con un provider di identità di terze parti e fai clic su Sostituisci certificato.
• Se utilizzi un indirizzo email completo nell'elemento NameID (necessario se applichi l'accesso SSO a un ambiente App con più domini), assicurati che l'attributo Format dell'elemento NameID specifichi che è necessario utilizzare un indirizzo email completo, come nell'esempio seguente: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"..
• Assicurati di aver compilato l'elemento NameID con un nome utente o un indirizzo email valido. Per averne la certezza, estrai la risposta SAML che stai inviando a Google Workspace e controlla il valore dell'elemento NameID.
• NameID è sensibile alle maiuscole: assicurati che la risposta SAML completi l'elemento NameID con un valore che corrisponda esattamente al nome utente o all'indirizzo email di Google Workspace. 
• Se il provider di identità sta criptando la tua asserzione SAML, disattiva la crittografia.
• Accertati che la risposta SAML non includa caratteri ASCII non standard. Questo problema si verifica più comunemente negli attributi DisplayName, GivenName e Surname dell'elemento AttributeStatement, ad esempio:
  • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
  • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
    <AttributeValue>Blüte</AttributeValue> </Attribute>

Per saperne di più su come formattare l'elemento NameID, consulta i requisiti per l'asserzione SSO.

Per motivi di sicurezza, il flusso di accesso SSO deve essere completato entro un periodo di tempo determinato, altrimenti l'autenticazione ha esito negativo. Se l'orologio del tuo provider di identità non è preciso, gran parte dei tentativi di accesso, se non tutti, saranno esterni al periodo di tempo accettabile e l'autenticazione non riuscirà, restituendo il messaggio di errore sopra riportato.

• Controlla l'orologio sul server del tuo provider di identità. Questo errore è quasi sempre causato da un orologio del provider di identità non preciso che aggiunge timestamp non corretti alla risposta SAML.
• Esegui nuovamente la sincronizzazione dell'orologio del server del provider di identità con un server di riferimento ora su internet più affidabile. In genere, quando questo problema si presenta all'improvviso in un ambiente di produzione, il motivo è la mancata riuscita dell'ultima sincronizzazione temporale, che comporta l'imprecisione dell'ora del server. Ripetendo la sincronizzazione dell'ora (possibilmente con un server di riferimento dell'ora più affidabile) risolverai rapidamente il problema.
• Questo problema può inoltre presentarsi quando si invia nuovamente la risposta SAML da un tentativo di accesso precedente. L'esame della richiesta e della risposta SAML (ottenute dai log delle intestazioni HTTP rilevate durante un tentativo di accesso) può aiutarti a eseguire ulteriormente il debug.

Per motivi di sicurezza, il flusso di accesso SSO deve essere completato entro un periodo di tempo determinato, altrimenti l'autenticazione ha esito negativo. Se l'orologio del tuo provider di identità non è preciso, gran parte dei tentativi di accesso, se non tutti, saranno esterni al periodo di tempo accettabile e l'autenticazione non riuscirà, restituendo il messaggio di errore sopra riportato.

• Controlla l'orologio sul server del tuo provider di identità. Questo errore è quasi sempre causato da un orologio del provider di identità non preciso che aggiunge timestamp non corretti alla risposta SAML.
• Esegui nuovamente la sincronizzazione dell'orologio del server del provider di identità con un server di riferimento ora su internet più affidabile. In genere, quando questo problema si presenta all'improvviso in un ambiente di produzione, il motivo è la mancata riuscita dell'ultima sincronizzazione temporale, che comporta l'imprecisione dell'ora del server. Ripetendo la sincronizzazione dell'ora (possibilmente con un server di riferimento dell'ora più affidabile) risolverai rapidamente il problema.