In dit document vindt u stappen om problemen met veelvoorkomende foutmeldingen op te lossen die u kunt zien tijdens de integratie of het gebruik van SAML-gebaseerde Single sign-on (SSO) met Google Workspace als Google de serviceprovider (SP) is.
Configuratie en activering
'Dit domein is niet geconfigureerd voor Single sign-on.'Deze foutmelding wordt meestal getoond als u Single sign-on probeert te gebruiken met de standaardversie (kosteloze versie) van G Suite, waarin SSO niet wordt ondersteund. Als u zeker weet dat u een Google Workspace-versie gebruikt die SSO ondersteunt, controleert u in de configuratie bij uw identiteitsprovider of u uw Google Workspace-domeinnaam juist heeft ingevuld.
Als u deze foutmelding ziet nadat u SSO heeft ingesteld met profielen, heeft uw IdP waarschijnlijk onterecht aangenomen dat u het SSO-profiel voor uw organisatie gebruikt. Zo ja, dan kunt u de instellingen van uw IdP SSO-profiel mogelijk alleen gebruiken om het SSO-profiel voor uw organisatie te configureren.
Deze foutmelding geeft aan dat u SSO niet correct heeft ingesteld in de Google Beheerdersconsole. Doorloop de volgende stappen uit om deze fout op te lossen:
- Ga in de Beheerdersconsole naar Beveiliging
Single sign-on (SSO) instellen met een IdP van derden en vink het vakje aan voor SSO instellen met identiteitsprovider van derden.
- Voer in de juiste velden de URL in van de volgende pagina's van uw organisatie: de inlogpagina, de uitlogpagina en de pagina voor het wijzigen van het wachtwoord.
- Kies en upload een geldig verificatiecertificaatbestand.
- Klik op Opslaan. Wacht enkele minuten totdat de wijzigingen zijn doorgevoerd en test de integratie opnieuw.
Single sign-on (SSO) instellen met een IdP van derden en vink het vakje aan voor SSO instellen met identiteitsprovider van derden.De SAML-reactie parseren
'De verplichte reactieparameter SAMLResponse ontbreekt'Deze foutmelding geeft aan dat uw identiteitsprovider Google geen geldige SAML-reactie geeft. Het probleem is zo goed als zeker te wijten aan een configuratieprobleem in de identiteitsprovider.
- Controleer in de logboeken van uw identiteitsprovider of iets zorgt dat er geen juiste SAML-reactie kan worden teruggestuurd.
- Controleer of de identiteitsprovider geen versleutelde SAML-reactie naar Google Workspace stuurt. Google Workspace accepteert alleen onversleutelde SAML-reacties. Belangrijk: Active Directory Federation Services 2.0 van Microsoft stuurt vaak versleutelde SAML-reacties in standaardconfiguraties.
De SAML 2.0-specificatie vereist dat identiteitsproviders een URL-parameter voor de RelayState uit bronproviders (zoals Google Workspace) ophalen en terugsturen. Google Workspace levert deze waarde aan de identiteitsprovider in het SAML-verzoek. De exacte inhoud kan per inlogpoging verschillen. Verificatie lukt alleen als de RelayState exact wordt teruggestuurd in de SAML-reactie. Volgens de standaard-SAML-specificatie mag uw identiteitsprovider de RelayState tijdens de inlogflow niet wijzigen.
- Bepaal dit probleem verder door HTTP-berichtkoppen vast te leggen tijdens een inlogpoging. Haal de RelayState op uit de HTTP-berichtkoppen met de SAML-aanvraag en de SAML-reactie en controleer of de waarden van de RelayState in de aanvraag en reactie met elkaar overeenkomen.
- Door de meeste commercieel verkrijgbare of open-source SSO-identiteitsproviders wordt de RelayState standaard naadloos doorgestuurd. Voor optimale beveiliging en betrouwbaarheid raden we u aan een van deze bestaande oplossingen te gebruiken. We kunnen geen ondersteuning bieden voor SSO-software die u zelf heeft aangepast.
Inhoud van de SAML-reactie
'U heeft geen toegang tot deze service, omdat uw inlogverzoek ongeldige gegevens bevatte voor [destination|audience|recipient]. Log in en probeer het opnieuw.'Deze foutmelding geeft aan dat de elementen destination, audience of recipient in de SAML-verklaring ongeldige gegevens bevatten of leeg waren. Alle elementen moeten worden toegevoegd aan de SAML-verklaring. Bekijk de volgende tabel voor beschrijvingen en voorbeelden van elk element.
| Element | <Audience> |
|---|---|
| Beschrijving | URI waarmee de bedoelde doelgroep wordt aangegeven, waarvoor de waarde van de ACS-URI is vereist. Opmerking: De elementwaarde mag niet leeg zijn. |
| Vereiste waarde | https://www.google.com/a/<example.com>/acs |
| Voorbeeld |
<saml:Conditions NotBefore="2014-11-05T17:31:37Z" |
| Element | Destination-kenmerk van het type <StatusResponseType> |
|---|---|
| Beschrijving | URI waarnaar de SAML-verklaring wordt verstuurd. Optioneel, maar als het wordt opgegeven, moet het de waarde van de ACS-URI bevatten. |
| Vereiste waarde | https://www.google.com/a/<example.com>/acs |
| Voorbeeld |
<saml:Response |
| Element | Recipient-kenmerk van <SubjectConfirmationData> |
|---|---|
| Beschrijving |
|
| Vereiste waarde | https://www.google.com/a/<example.com>/acs |
| Voorbeeld |
<saml:Subject> |
Bekijk het artikel Vereisten voor SSO-verklaring voor meer informatie over alle vereiste elementen.
Deze foutmelding geeft meestal aan dat de SAML-reactie van uw identiteitsprovider geen leesbare waarde voor de Recipient bevat (of dat de waarde voor de Recipient niet correct is). De waarde bij Recipient is een belangrijk onderdeel van de SAML-reactie.
- Bepaal dit probleem verder door HTTP-berichtkoppen vast te leggen tijdens een inlogpoging.
- Extraheer de SAML-aanvraag en -reactie uit de HTTP-berichtkoppen.
- Controleer of de waarde van de Recipient in de SAML-reactie daadwerkelijk voorkomt en of deze overeenkomt met de waarde in de SAML-aanvraag.
Opmerking: Deze foutmelding kan ook worden weergegeven als 'U heeft geen toegang tot deze service omdat uw inlogverzoek ongeldige gegevens voor de ontvanger bevat. Log in en probeer het opnieuw.'
Deze foutmelding geeft aan dat er een probleem is met de certificaten die u gebruikt om de verificatieflow te ondertekenen. Dit betekent meestal dat de privésleutel waarmee de SAML-reactie wordt ondertekend, niet overeenkomt met het certificaat met openbare sleutel dat Google Workspace in het archief heeft staan.
Deze foutmelding kan ook betekenen dat uw SAML-reactie geen bruikbare gebruikersnaam van een Google-account bevat. Google Workspace parseert de SAML-reactie voor een XML-element, genaamd NameID, en verwacht dat dit element een Google Workspace-gebruikersnaam of een volledig e-mailadres van Google Workspace bevat.
- Controleer of u een geldig certificaat heeft geüpload naar Google Workspace en vervang het certificaat indien nodig. Ga in de Google Beheerdersconsole naar Beveiliging
- Als u een volledig e-mailadres gebruikt in het element NameID (dat doet u in ieder geval als u SSO in een Apps-omgeving met meerdere domeinen gebruikt), moet u zorgen dat het kenmerk Format van het element NameID voorschrijft dat een volledig e-mailadres moet worden gebruikt, zoals in het volgende voorbeeld: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
- Voer voor het element NameID een geldige gebruikersnaam of geldig e-mailadres in. Haal ter controle de SAML-reactie op die u naar Google Workspace stuurt en controleer de waarde van het element NameID.
- NameID is hoofdlettergevoelig. Zorg dat in de SAML-reactie bij de NameID een waarde is ingevuld met hetzelfde hoofdlettergebruik als in de gebruikersnaam of het e-mailadres van Google Workspace.
- Als uw identiteitsprovider de SAML-verklaring versleutelt, zet u deze versleuteling uit.
- Zorg dat de SAML-reactie geen niet-standaard ASCII-tekens bevat. Dit probleem doet zich meestal voor in de kenmerken GivenName en Surname in het AttributeStatement, bijvoorbeeld:
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue> </Attribute> - <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
Bekijk de vereisten voor SSO-assertie voor meer informatie over de indeling van het element NameID.
Vanwege de beveiliging moet de SSO-inlogflow binnen een bepaalde termijn zijn afgerond, anders mislukt de verificatie. Als de tijd op de klok van uw identiteitsprovider niet correct is, lijken de meeste of alle inlogpogingen buiten de acceptabele termijn te vallen. Daardoor mislukt de verificatie en wordt bovenstaande foutmelding gegenereerd.
- Controleer de klok op de server van uw identiteitsprovider. Deze fout wordt vrijwel altijd veroorzaakt doordat de klok van de identiteitsprovider niet op de juiste tijd staat, waardoor onjuiste tijdstempels op de SAML-reactie worden geplaatst.
- Synchroniseer de klok van de server van uw identiteitsprovider met een betrouwbare internettijdserver. Als dit probleem zich opeens in een productieomgeving voordoet, wordt dit meestal veroorzaakt doordat de synchronisatie de laatste keer is mislukt, waardoor de servertijd onnauwkeurig is geworden. Als u de tijd opnieuw synchroniseert (met een betrouwbare tijdserver) wordt dit probleem meestal snel opgelost.
- Dit probleem kan zich ook voordoen als u SAML opnieuw verstuurt via een eerdere inlogpoging. Dit kunt u verder oplossen door uw SAML-aanvraag en -reactie (verkregen uit logboekbestanden met HTTP-kopteksten tijdens een inlogpoging) te onderzoeken.
Vanwege de beveiliging moet de SSO-inlogflow binnen een bepaalde termijn zijn afgerond, anders mislukt de verificatie. Als de tijd op de klok van uw identiteitsprovider niet correct is, lijken de meeste of alle inlogpogingen buiten de acceptabele termijn te vallen. Daardoor mislukt de verificatie en wordt bovenstaande foutmelding gegenereerd.
- Controleer de klok op de server van uw identiteitsprovider. Deze fout wordt vrijwel altijd veroorzaakt doordat de klok van de identiteitsprovider niet op de juiste tijd staat, waardoor onjuiste tijdstempels op de SAML-reactie worden geplaatst.
- Synchroniseer de klok van de server van uw identiteitsprovider met een betrouwbare internettijdserver. Als dit probleem zich opeens in een productieomgeving voordoet, wordt dit meestal veroorzaakt doordat de synchronisatie de laatste keer is mislukt, waardoor de servertijd onnauwkeurig is geworden. Als u de tijd opnieuw synchroniseert (met een betrouwbare tijdserver) wordt dit probleem meestal snel opgelost.
