Rozwiązywanie problemów z logowaniem jednokrotnym (SSO)

Ten dokument zawiera instrukcje dotyczące rozwiązywania problemów, które często występują podczas integrowania lub używania logowania jednokrotnego opartego na protokole SAML z Google Workspace, gdy Google jest dostawcą usług.

Konfiguracja i aktywacja

„Ta domena nie została skonfigurowana do korzystania z logowania jednokrotnego”.

Ten błąd oznacza zazwyczaj, że próbujesz użyć logowania jednokrotnego ze standardową (bezpłatną) wersją G Suite, która obecnie nie obsługuje takiego logowania. Jeśli masz pewność, że używasz wersji Google Workspace, która obsługuje logowanie jednokrotne, sprawdź konfigurację u dostawcy tożsamości, aby upewnić się, że nazwa domeny Google Workspace została wpisana prawidłowo.

„Nie można uzyskać dostępu do tego konta, bo domena jest skonfigurowana nieprawidłowo. Spróbuj później”.

Ten błąd oznacza, że logowanie jednokrotne zostało nieprawidłowo skonfigurowane w konsoli administracyjnej Google. Aby rozwiązać ten problem, wykonaj opisane poniżej czynności:

  1. W konsoli administracyjnej kliknij Bezpieczeństwo a potem Konfigurowanie logowania jednokrotnego (SSO) przy użyciu zewnętrznego dostawcy tożsamości i zaznacz pole Skonfiguruj logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.
  2. W odpowiednich polach podaj adresy URL strony logowania, strony wylogowywania oraz strony zmiany hasła Twojej organizacji.
  3. Wybierz i prześlij poprawny certyfikat weryfikacji.
  4. Kliknij Zapisz, poczekaj kilka minut, aż zmiany zaczną obowiązywać, i ponownie spróbuj przeprowadzić integrację.

Analizowanie odpowiedzi SAML

„Brak wymaganego parametru odpowiedzi SAMLResponse”

Ten komunikat o błędzie oznacza, że Twój dostawca tożsamości nie podaje Google prawidłowej odpowiedzi SAML. Taka sytuacja jest niemal na pewno spowodowana problemem z konfiguracją dostawcy tożsamości.

  • Sprawdź dzienniki dostawcy tożsamości i upewnij się, że nic nie uniemożliwia mu prawidłowego zwracania odpowiedzi SAML.
  • Upewnij się, że dostawca tożsamości nie odsyła do Google Workspace zaszyfrowanej odpowiedzi SAML. Google Workspace akceptuje wyłącznie niezaszyfrowane odpowiedzi SAML. W szczególności zwróć uwagę na fakt, że oprogramowanie Active Directory Federation Services 2.0 firmy Microsoft często wysyła zaszyfrowane odpowiedzi SAML w konfiguracjach domyślnych.
„Brak wymaganego parametru RelayState”

Specyfikacja SAML 2.0 wymaga, aby dostawca tożsamości pobrał od dostawców zasobów (takich jak Google Workspace) parametr adresu URL RelayState i go odesłał. Google Workspace podaje tę wartość dostawcy tożsamości w żądaniu SAML, a jej dokładna zawartość może się różnić przy każdym logowaniu. Aby uwierzytelnienie przebiegło pomyślnie, w odpowiedzi SAML musi być zwrócony dokładny parametr RelayState. Zgodnie ze specyfikacją standardu SAML dostawca tożsamości nie powinien zmieniać parametru RelayState w przepływie logowania.

  • Ten problem można zdiagnozować dokładniej, przechwytując nagłówki HTTP podczas próby logowania. Wyodrębnij parametr RelayState z nagłówków HTTP zawierających zarówno żądanie, jak i odpowiedź SAML oraz upewnij się, że wartości parametru RelayState w żądaniu i odpowiedzi są takie same.
  • Większość komercyjnych lub działających na licencji open-source dostawców tożsamości na potrzeby logowania jednokrotnego domyślnie przekazuje parametr RelayState bezproblemowo. Aby zapewnić optymalny poziom bezpieczeństwa i niezawodności, zalecamy użycie jednego z tych istniejących rozwiązań. Nie możemy zaoferować pomocy technicznej do niestandardowego oprogramowania logowania jednokrotnego.

Zawartość odpowiedzi SAML

„Nie można skorzystać z tej usługi, ponieważ żądanie logowania zawierało nieprawidłowe informacje o [miejscu docelowym | odbiorcach | adresacie]. Zaloguj się i spróbuj ponownie”.

Ten błąd oznacza, że element destination (miejsce docelowe), audience (odbiorcy) lub recipient (adresat) w potwierdzeniu SAML zawierał nieprawidłowe informacje lub był pusty. Potwierdzenie SAML musi zawierać wszystkie elementy. W tabeli poniżej znajdziesz opisy i przykłady poszczególnych elementów.

Element <Audience>
Opis Identyfikator URI, który określa odbiorców – wymaga wartości identyfikatora ACS URI. Uwaga: wartość tego elementu nie może być pusta.
Wymagana wartość https://www.google.com/a/<example.com>/acs
Przykład

<saml:Conditions NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

 

Element Atrybut Destination typu <StatusResponseType>
Opis Identyfikator URI określający, gdzie wysyłane jest potwierdzenie SAML. Atrybut ten jest opcjonalny, ale w przypadku jego określenia wymagana jest wartość identyfikatora ACS URI.
Wymagana wartość https://www.google.com/a/<example.com>/acs
Przykład

<saml:Response
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhhoehbokhbkeapbbinldpeen">

 

Element Atrybut Recipient elementu <SubjectConfirmationData>
 
Opis
  • Określa jednostkę, która ma otrzymać element Subject.
  • Wymagany atrybut, w którym musi zawierać się identyfikator ACS URI.
  • Wielkość liter jest rozróżniana.
Wymagana wartość https://www.google.com/a/<example.com>/acs
Przykład

<saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email">user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"/>
</saml:SubjectConfirmation> 
</saml:Subject>

Więcej informacji o wszystkich wymaganych elementach znajdziesz w artykule Wymagania potwierdzenia logowania jednokrotnego.

„Nie można uzyskać dostępu do tej usługi, ponieważ żądanie logowania nie zawierało informacji o adresacie. Zaloguj się i spróbuj ponownie”.

Ten komunikat o błędzie zazwyczaj oznacza, że w odpowiedzi SAML otrzymanej od dostawcy tożsamości brakuje czytelnej wartości Recipient (lub że wartość Recipient jest nieprawidłowa). Wartość Recipient jest ważnym składnikiem odpowiedzi SAML.

  1. Ten problem można zdiagnozować dokładniej, przechwytując nagłówki HTTP podczas próby logowania.
  2. Wyodrębnij żądanie i odpowiedź SAML z nagłówków HTTP.
  3. Upewnij się, że odpowiedź SAML zawiera wartość Recipient i że ta wartość odpowiada wartości w żądaniu SAML.

Uwaga: ten komunikat o błędzie może mieć też postać „Nie można uzyskać dostępu do tej usługi, bo Twoje żądanie logowania zawierało nieprawidłowe informacje o adresacie. Zaloguj się i spróbuj ponownie”.

„Nie można uzyskać dostępu do tego konta, ponieważ nie można potwierdzić danych logowania”

Ten komunikat o błędzie oznacza, że występuje problem z certyfikatami używanymi do podpisywania przepływu uwierzytelnienia. Zazwyczaj wskazuje to, że klucz prywatny używany do podpisywania odpowiedzi SAML nie pasuje do certyfikatu klucza publicznego zapisanego w danych Google Workspace.

Błąd ten może wystąpić również wtedy, gdy odpowiedź SAML nie zawiera właściwej nazwy użytkownika Google. Google Workspace analizuje odpowiedź SAML elementu XML o nazwie NameID i oczekuje, że element ten będzie zawierał nazwę użytkownika Google Workspace lub pełny adres e-mail Google Workspace.

  • Upewnij się, że do Google Workspace został przesłany ważny certyfikat, i w razie potrzeby koniecznie go zastąp. W konsoli administracyjnej Google kliknij Bezpieczeństwo a potem Konfigurowanie logowania jednokrotnego (SSO) przy użyciu zewnętrznego dostawcy tożsamości i kliknij Zamień certyfikat.
  • Jeśli w swoim elemencie NameID używasz pełnego adresu e-mail (a na pewno tak jest, jeżeli stosujesz logowanie jednokrotne w środowisku G Suite obejmującym wiele domen), upewnij się, że atrybut Format elementu NameID określa, że wykorzystany zostanie pełny adres e-mail, tak jak pokazano w następującym przykładzie: Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email".
  • Sprawdź, czy element NameID zawiera prawidłową nazwę użytkownika lub adres e-mail. Aby zyskać co do tego pewność, wyodrębnij odpowiedź SAML wysyłaną do Google Workspace i sprawdź wartość elementu NameID.
  • W identyfikatorze NameID jest rozróżniana wielkość liter. Upewnij się, że odpowiedź SAML zawiera element NameID z wartością odpowiadającą nazwie użytkownika lub adresowi e-mail Google Workspace.
  • Jeśli Twój dostawca tożsamości szyfruje potwierdzenie SAML, wyłącz szyfrowanie.
  • Upewnij się, że odpowiedź SAML nie zawiera żadnych niestandardowych znaków ASCII. Błąd ten występuje najczęściej w atrybutach DisplayName, GivenName i Surname elementu AttributeStatement, na przykład:
    • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
      <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
    • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
      <AttributeValue>Blüte</AttributeValue> </Attribute>

Więcej informacji o formatowaniu elementu NameID znajdziesz w artykule Wymagania potwierdzenia logowania jednokrotnego.

„Nie można skorzystać z tej usługi, ponieważ wygasła ważność danych logowania. Zaloguj się i spróbuj ponownie”.

Ze względów bezpieczeństwa proces logowania jednokrotnego musi zakończyć się w określonym przedziale czasu. W przeciwnym razie uwierzytelnianie się nie powiedzie. Jeśli zegar na serwerze dostawcy tożsamości nie jest prawidłowo wyregulowany, większość prób logowania będzie uznawanych za przekraczające dopuszczalny czas i uwierzytelnianie będzie kończyło się niepowodzeniem oraz wyświetleniem wskazanego powyżej komunikatu o błędzie.

  • Sprawdź zegar na serwerze dostawcy tożsamości. Ten błąd jest niemal zawsze powodowany źle wyregulowanym zegarem dostawcy tożsamości, który dodaje nieprawidłowe sygnatury czasowe do odpowiedzi SAML.
  • Zsynchronizuj zegar na serwerze dostawcy tożsamości z wiarygodnym internetowym serwerem czasu. Jeśli ten problem występuje nagle w środowisku produkcyjnym, zazwyczaj jest spowodowany niepowodzeniem ostatniej synchronizacji czasu, które doprowadziło do rozregulowania czasu serwera. Ponowienie próby zsynchronizowania czasu (jeśli to możliwe, użyj bardziej wiarygodnego serwera czasu) pozwala szybko wyeliminować ten błąd.
  • Ten problem może także wystąpić w przypadku ponownego wysłania danych SAML z poprzedniej próby logowania. W takim przypadku można go rozwiązać, sprawdzając żądanie i odpowiedź SAML (uzyskane z dzienników nagłówka HTTP przechwyconych podczas próby logowania).
„Nie można skorzystać z tej usługi, ponieważ Twoje dane logowania nie zostały jeszcze zweryfikowane. Zaloguj się i spróbuj ponownie”.

Ze względów bezpieczeństwa proces logowania jednokrotnego musi zakończyć się w określonym przedziale czasu. W przeciwnym razie uwierzytelnianie się nie powiedzie. Jeśli zegar na serwerze dostawcy tożsamości nie jest prawidłowo wyregulowany, większość prób logowania będzie uznawanych za przekraczające dopuszczalny czas i uwierzytelnianie będzie kończyło się niepowodzeniem oraz wyświetleniem wskazanego powyżej komunikatu o błędzie.

  • Sprawdź zegar na serwerze dostawcy tożsamości. Ten błąd jest niemal zawsze powodowany źle wyregulowanym zegarem dostawcy tożsamości, który dodaje nieprawidłowe sygnatury czasowe do odpowiedzi SAML.
  • Zsynchronizuj zegar na serwerze dostawcy tożsamości z wiarygodnym internetowym serwerem czasu. Jeśli ten problem występuje nagle w środowisku produkcyjnym, zazwyczaj jest spowodowany niepowodzeniem ostatniej synchronizacji czasu, które doprowadziło do rozregulowania czasu serwera. Ponowienie próby zsynchronizowania czasu (jeśli to możliwe, użyj bardziej wiarygodnego serwera czasu) pozwala szybko wyeliminować ten błąd.
Czy to było pomocne?
Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Zaloguj się i uzyskaj dodatkowe informacje, by szybko rozwiązać problem

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne
Wyszukaj w Centrum pomocy
true
73010
false
false