Устранение неполадок системы единого входа

В этой статье объясняется, как исправить возможные ошибки при интеграции и использовании системы единого входа на базе SAML в Google Workspace, если Google является поставщиком услуг.

Конфигурация и активация

"Конфигурация этого домена не позволяет использовать единый набор реквизитов".

Эта ошибка обычно указывает на то, что вы пытаетесь использовать систему единого входа в бесплатной (стандартной) версии G Suite, в которой эта возможность недоступна. Если вы уверены, что используете версию Google Workspace с поддержкой единого входа, проверьте конфигурацию поставщика идентификационной информации, чтобы убедиться, что вы правильно ввели доменное имя Google Workspace.

"Этот аккаунт недоступен, так как домен настроен неправильно. Повторите попытку позже".

Эта ошибка указывает, что вы не настроили систему единого входа в консоли администратора Google надлежащим образом. Чтобы исправить ошибку, выполните следующие действия:

  1. В консоли администратора Google откройте раздел БезопасностьзатемНастройка системы единого входа с использованием стороннего поставщика идентификационной информации и установите флажок Настроить систему единого входа со сторонним поставщиком идентификационной информации.
  2. Укажите URL для страниц входа, выхода и изменения пароля в соответствующих полях.
  3. Выберите и загрузите файл действительного проверочного сертификата.
  4. Нажмите Сохранить, подождите пару минут, пока выбранные настройки не будут применены в системе, и попробуйте войти ещё раз.

Анализ ответов SAML

"Отсутствует обязательный параметр ответа SAMLResponse".

Это сообщение указывает на то, что поставщик услуг аутентификации не предоставил Google соответствующий ответ SAML. В большинстве случаев это связано с ошибками в конфигурации у поставщика.

  • Проверьте журналы поставщика и убедитесь, что ничего не препятствует правильной отправке ответов SAML.
  • Убедитесь, что ваш поставщик идентификационной информации не шифрует ответы SAML при их отправке в Google Workspace. Google Workspace принимает эти данные только в незашифрованном виде. В частности, обратите внимание, что служба Microsoft Active Directory Federation Services 2.0 по умолчанию отправляет зашифрованные ответы SAML.
"Отсутствует обязательный параметр ответа RelayState".

В спецификации для SAML 2.0 указано, что поставщик идентификационной информации получает значение параметра URL RelayState от поставщика ресурса (например, Google Workspace) и отправляет его обратно. Google Workspace предоставляет это значение поставщику идентификационной информации в запросе SAML, и оно может изменяться при каждом входе. Для успешного завершения аутентификации в ответе SAML должно содержаться точное значение параметра RelayState. Согласно спецификации стандарта SAML, поставщик идентификационной информации не должен изменять значение RelayState в процессе входа.

  • Чтобы установить причину проблемы, зафиксируйте заголовки HTTP при попытке входа. Извлеките значение RelayState из HTTP-заголовков запроса и ответа SAML, а затем убедитесь, что эти значения совпадают.
  • Большинство поставщиков идентификационной информации для коммерческих и бесплатных систем единого входа по умолчанию передают точное значение RelayState. Чтобы добиться максимального уровня безопасности и надежности, мы рекомендуем использовать уже существующие решения и не поддерживаем системы единого входа, разработанные пользователями.

Содержание ответов SAML

"Невозможно получить доступ к службе, так как запрос на вход содержал недопустимые данные ([destination|audience|recipient]). Войдите в систему и повторите попытку".

Эта ошибка указывает на то, что элементы destination, audience или recipient в выражении SAML содержат недопустимые данные или значения для них не указаны. Все эти элементы должны быть включены в утверждение SAML. Описание и примеры каждого элемента приводятся в таблице.

Элемент <Audience>
Описание Этот URI определяет целевую аудиторию. Требуется значение URI ACS. Оно не может быть пустым.
Требуемое значение https://www.google.com/a/<example.com>/acs
Пример

<saml:Conditions NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

 

Элемент Атрибут Destination типа <StatusResponseType>
Описание URI, по которому отправляется утверждение SAML. Это необязательный атрибут. Если он заявлен, то должен содержать значение URI ACS.
Требуемое значение https://www.google.com/a/<example.com>/acs
Пример

<saml:Response
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhhoehbokhbkeapbbinldpeen">

 

Элемент Атрибут Recipient типа <SubjectConfirmationData>
 
Описание
  • Определяет объект, который получает объект Subject.
  • Это обязательный атрибут, который должен содержать URI ACS.
  • Регистр учитывается.
Требуемое значение https://www.google.com/a/<example.com>/acs
Пример

<saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/example.com"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email">user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"/>
</saml:SubjectConfirmation> 
</saml:Subject>

Подробное описание всех обязательных элементов приведено в этой статье.

"К этой службе невозможно получить доступ, поскольку ваш запрос на вход не содержит информации о получателе. Войдите и повторите попытку".

Эта ошибка обычно указывает на то, что в ответе SAML поставщика идентификационной информации отсутствует распознаваемое значение Recipient или оно указано неправильно. Значение Recipient – важный элемент ответов SAML.

  1. Чтобы установить причину проблемы, зафиксируйте заголовки HTTP при попытке входа.
  2. Извлеките запрос и ответ SAML из заголовков HTTP.
  3. Убедитесь, что в ответе SAML есть значение Recipient, которое совпадает с аналогичным значением в запросе SAML.

Примечание. При возникновении этой ошибки также может появляться сообщение "К этой службе невозможно получить доступ, поскольку ваш запрос на вход содержит неверную информацию о получателе. Войдите и повторите попытку."

"Этот аккаунт недоступен, так как не удалось подтвердить ваши реквизиты".

Эта ошибка указывает на проблему с сертификатами, которые вы используете для аутентификации. Как правило, это значит, что закрытый ключ, используемый для подписи ответа SAML, не соответствует сертификату открытого ключа в системе Google Workspace.

Ошибка также может означать, что в ответе SAML не содержится действительное имя пользователя аккаунта Google. В системе Google Workspace из ответов SAML выделяется XML-элемент NameID, который должен содержать имя или полный адрес электронной почты пользователя Google Workspace.

  • Убедитесь, что вы загрузили в Google Workspace действительный сертификат. Если необходимо, замените его. В консоли администратора Google откройте раздел БезопасностьзатемНастройка системы единого входа с использованием стороннего поставщика идентификационной информации и нажмите Заменить сертификат.
  • Если вы указываете полный адрес электронной почты в элементе NameID (такой формат обязателен для системы единого входа в многодоменной среде Google Workspace), убедитесь, что значение атрибута Format элемента NameID предписывает использовать полный адрес. Пример: Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email".
  • Элемент NameID должен содержать действительное имя пользователя или адрес электронной почты. Чтобы проверить NameID, извлеките ответ SAML, который вы отправляете в Google Workspace, и обратите внимание на содержащееся в нем значение.
  • Если ваш поставщик идентификационной информации шифрует подтверждения SAML, отключите шифрование.
  • Убедитесь, что в ответе SAML не используются нестандартные символы ASCII. Эта ошибка обычно возникает в атрибутах DisplayName, GivenName и Surname в AttributeStatement. Например:
    • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
      <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
    • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
      <AttributeValue>Blüte</AttributeValue> </Attribute>
"Эта служба недоступна, так как срок действия ваших реквизитов истек. Пожалуйста, войдите и повторите попытку снова".

По соображениям безопасности вход в системе SSO должен выполняться за определенное время, иначе произойдет сбой аутентификации. Если у вашего поставщика услуг аутентификации время установлено неправильно, большинство попыток входа не будет вписываться в необходимый интервал. В таком случае появится указанное выше сообщение об ошибке.

  • Проверьте часы на сервере поставщика услуг аутентификации. Из-за ошибок в их настройке ответ SAML содержит неверные временные метки.
  • Синхронизируйте часы на сервере поставщика с надежным источником в Интернете. Если подобная ошибка неожиданно происходит в уже работающей системе, она обычно связана со сбоем синхронизации, в результате которого время на сервере становится неточным. Быстро решить эту проблему поможет повторная синхронизация с сервером точного времени (желательно более надежным).
  • Кроме того, эта ошибка может возникнуть при повторной отправке ответа SAML, использовавшегося для предыдущей попытки входа. Для отладки проверьте запросы и ответы SAML (их можно найти в журналах заголовков HTTP, зафиксированных во время последнего входа).
"К этой службе невозможно получить доступ, поскольку ваши реквизиты для входа ещё недействительны. Войдите и повторите попытку".

По соображениям безопасности вход в системе SSO должен выполняться за определенное время, иначе произойдет сбой аутентификации. Если у вашего поставщика услуг аутентификации время установлено неправильно, большинство попыток входа не будет вписываться в необходимый интервал. В таком случае появится указанное выше сообщение об ошибке.

  • Проверьте часы на сервере поставщика услуг аутентификации. Из-за ошибок в их настройке ответ SAML содержит неверные временные метки.
  • Синхронизируйте часы на сервере поставщика с надежным источником в Интернете. Если подобная ошибка неожиданно происходит в уже работающей системе, она обычно связана со сбоем синхронизации, в результате которого время на сервере становится неточным. Быстро решить эту проблему поможет повторная синхронизация с сервером точного времени (желательно более надежным).
Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.