Avisering

Duet AI heter nu Gemini for Google Workspace. Läs mer

Felsöka enkel inloggning (single sign-on, SSO)

I detta dokument finns steg för att lösa vanliga felmeddelanden som du kan stöta på vid integrering eller användning av SAML-baserad enkel inloggning (SSO) med Google Workspace.

Konfiguration och aktivering

Denna domän är inte konfigurerad för enkel inloggning.

Felet indikerar vanligtvis att du försöker använda enkel inloggning med en (kostnadsfri) standardversion av G Suite, som inte har stöd för enkel inloggning. Om du är säker på att du använder en Google Workspace-utgåva som har stöd för enkel inloggning kontrollerar du konfigurationen hos identitetsleverantören och ser till att du har angett rätt domännamn för Google Workspace.

Om det här felet uppstår när du har konfigurerat SSO med profiler beror det troligen på att din IdP felaktigt förutsätter att du använder SSO-profilen för organisationen. Om så är fallet kan dina inställningar för IdP SSO-profil bara användas om du använder dem för att konfigurera SSO-profilen för organisationen.

Det här kontot kan inte nås eftersom domänen är felaktigt konfigurerad. Försök igen senare.

Felet indikerar att du inte har konfigurerat enkel inloggning korrekt på Google Administratörskonsol. Läs igenom följande steg för att rätta till problemet:

  1. I administratörskonsolen öppnar du Säkerhet följt avKonfigurera enkel inloggning med en extern IdP och markerar Konfigurera enkel inloggning med extern identitetsleverantör.
  2. Ange webbadresser för din organisations inloggningssida, utloggningssida och sida för att ändra lösenord i respektive fält.
  3. Välj och ladda upp en giltig fil med verifieringscertifikat.
  4. Klicka på Spara, vänta några minuter för att ändringarna ska träda i kraft, och testa integrationen igen.

Kontrollerar SAML-svaret

Den obligatoriska responsparametern SAMLResponse saknades

Felmeddelandet indikerar att din identitetsleverantör inte skickar Google ett giltigt SAML-svar av något slag. Problemet beror nästan helt säkert på ett konfigurationsproblem hos identitetsleverantören.

  • Kontrollera identitetsleverantörens loggar och kontrollera att det inte finns något som hindrar korrekt återgivning av ett SAML-svar.
  • Kontrollera att identitetsleverantören inte skickar ett krypterat SAML-svar till Google Workspace. Google Workspace accepterar enbart SAML-svar som inte är krypterade. Notera särskilt att Microsofts Active Directory Federation Services 2.0 ofta skickar krypterade SAML-svar i standardkonfigurationer.
Den obligatoriska responsparametern RelayState saknades

SAML 2.0-specifikationen kräver att identitetsleverantörerna hämtar och skickar tillbaka en URL-parameter för RelayState från resursleverantörerna (t.ex. Google Workspace). Google Workspace förmedlar detta värde till identitetsleverantören i SAML-begäran och det exakta innehållet kan variera i varje inloggning. För att autentiseringen ska kunna slutföras måste exakt RelayState återges i SAML-svaret. Enligt SAML-standardspecifikationen ska inte din identitetsleverantör ändra RelayState under inloggningsflödet.

  • Diagnostisera frågan ytterligare genom att spara HTTP-huvudena under ett inloggningsförsök. Extrahera RelayState från HTTP-huvud med både SAML-förfrågan och -respons, och se till att RelayState-värdena i förfrågan och respons matchar varandra.
  • De flesta SSO-identitetsleverantörer som är kommersiellt tillgängliga eller har öppen källkod överför RelayState sömlöst som standard. För optimal säkerhet och pålitlighet rekommenderar vi att du använder någon av de befintliga lösningarna. Vi kan inte erbjuda support för någon egen, anpassad SSO-programvara.

Innehåll i SAML-svaret

Den här tjänsten kan inte nås eftersom inloggningsförfrågan innehöll ogiltig information om [destination|audience] Logga in och försök igen.

Det här felet indikerar att destinationen, målgruppen eller mottagarelementen i SAML-påståendet innehöll ogiltig information eller var tomma. Alla element måste ingå i SAML-kontrollen. Följande tabell innehåller beskrivningar och exempel för varje element.

Element <Audience>
Beskrivning URI som identifierar den tänkta målgruppen som kräver värdet från ACS URI. Obs! Elementvärdet får inte vara tomt.
Obligatoriskt värde https://www.google.com/a/<example.com>/acs
Exempel

<saml:Conditions NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://www.google.com/a/example.com/acs
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

 

Element Destinationsattribut i typen <StatusResponseType>
Beskrivning URI som SAML-kontrollen skickas till. Valfritt, men om det anges kräver det värdet från ACS URI.
Obligatoriskt värde https://www.google.com/a/<example.com>/acs
Exempel

<saml:Response
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhhoehbokhbkeapbbinldpeen">

 

Element Attributet Recipient för <SubjectConfirmationData>
 
Beskrivning
  • Anger den enhet som ska ta emot Subject
  • Är ett obligatoriskt attribut som måste innehålla ACS-URI
  • Är skiftlägeskänslig.
Obligatoriskt värde https://www.google.com/a/<example.com>/acs
Exempel

<saml:Subject>
<saml:NameID SPNameQualifier="google.com/a/exempel.com"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"/>
</saml:SubjectConfirmation> 
</saml:Subject>

För mer information om alla obligatoriska element kan du läsa artikeln Krav för SSO-kontroll.

Den här tjänsten kan inte nås eftersom din inloggningsförfrågan inte innehöll någon information om mottagaren. Logga in och försök igen.

Detta fel indikerar vanligtvis att SAML-responsen från din identitetsleverantör saknar ett läsbart mottagar-värde (eller att mottagar-värdet är felaktigt). Värdet Recipient är en viktig del av SAML-svaret.

  1. Diagnostisera frågan ytterligare genom att spara HTTP-huvudena under ett inloggningsförsök.
  2. Extrahera SAML-begäran och -svar från HTTP-huvudena.
  3. Se till att mottagarvärdet i SAML-responsen existerar och att det matchar värdet i SAML-förfrågan.

Obs! detta felmeddelande kan också visas som ”Den här tjänsten kan inte nås eftersom din inloggningsförfrågan innehöll ogiltig information om mottagaren. Logga in och försök igen.”

Det går inte att komma åt det här kontot eftersom det inte gick att verifiera dina inloggningsuppgifter.

Felet indikerar ett problem med certifikaten som du använder för att signera autentiseringsflödet. Det betyder vanligtvis att den privata nyckel som används för att signera SAML-svaret inte överensstämmer med det allmänna nyckelcertifikat som finns lagrat i Google Workspace.

Felet kan även inträffade om att ditt SAML-svar inte innehåller ett giltigt användarnamn för Google-kontot. Google Workspace analyserar SAML-svaret för ett XML-element som kallas NameID och elementet förväntas innehålla ett Google Workspace-användarnamn eller en fullständig e-postadress i Google Workspace.

  • Kontrollera att du har laddat upp ett giltigt certifikat till Google Workspace och byt ut certifikatet om det behövs. I Google Administratörskonsol öppnar du Säkerhet följt avKonfigurera enkel inloggning med en extern IdP och klickar på Ersätt certifikat.
  • Om du använder en fullständig e-postadress i NameID-elementet (vilket du måste göra om du använder enkel inloggning med en G Suite-miljö för flera domäner), ska du se till att Format-attributet i NameID-elementet specificerar att en fullständig e-postadress ska användas, som i följande exempel: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
  • Se till att du fyller i NameID-elementet med ett giltigt användarnamn eller e-postadress. För att vara säker kan du extrahera det SAML-svar som du skickar till Google Workspace och kontrollera värdet för elementet NameID.
  • NameID är skiftlägeskänsligt: Se till att SAML-svaret fyller på NameID med ett värde som matchar skiftläget i användarnamnet eller e-postadressen i Google Workspace. 
  • Om identitetsleverantören krypterar SAML-kontrollen ska du inaktivera krypteringen.
  • Se till att SAML-svaret inte innehåller några icke-standardiserade ASCII-tecken. Problemet förekommer oftast i attributen DisplayName, GivenName och Surname i AttributeStatement, till exempel:
    • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
      <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
    • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
      <AttributeValue>Blüte</AttributeValue> </Attribute>

Mer information om hur du formaterar NameID-elementet finns i Krav för SSO-kontroll.

Den här tjänsten kan inte nås eftersom dina inloggningsuppgifter har slutat gälla. Logga in och försök igen.

Av säkerhetsskäl måste SSO-inloggningsflödet slutföras inom en viss tid för att autentiseringen ska lyckas. Om klockan på din identitetsleverantör inte går rätt verkar det som att de flesta eller alla inloggningsförsök görs utanför den godkända tidsramen och autentiseringen kommer att misslyckas. Ovanstående felmeddelande visas.

  • Kontrollera klockan på din identitetsleverantörs server. Felet beror nästan alltid på att identitetsleverantörens klocka går fel, vilket infogar felaktiga tidsstämplar i SAML-svaret.
  • Synkronisera om identitetsleverantörens serverklocka med en pålitlig tidserver på internet. När detta plötsligt händer i en produktionsmiljö beror det oftast på att synkroniseringen misslyckades förra gången så att servertiden blir felaktig. Upprepa tidssynkroniseringen (eventuellt med en mer pålitlig tidsserver) för att snabbt lösa problemet.
  • Problemet kan också uppstå om du skickar om SAML från ett tidigare inloggningsförsök. Att undersöka SAML-begäran och -svaret (hämtas från HTTP-huvudloggarna som sparats under ett inloggningsförsök) kan hjälpa dig att felsöka detta vidare.
Det går inte att komma åt tjänsten eftersom dina inloggningsuppgifter ännu inte gäller. Logga in och försök igen.

Av säkerhetsskäl måste SSO-inloggningsflödet slutföras inom en viss tid för att autentiseringen ska lyckas. Om klockan på din identitetsleverantör inte går rätt verkar det som att de flesta eller alla inloggningsförsök görs utanför den godkända tidsramen och autentiseringen kommer att misslyckas. Ovanstående felmeddelande visas.

  • Kontrollera klockan på din identitetsleverantörs server. Felet beror nästan alltid på att identitetsleverantörens klocka går fel, vilket infogar felaktiga tidsstämplar i SAML-svaret.
  • Synkronisera om identitetsleverantörens serverklocka med en pålitlig tidserver på internet. När detta plötsligt händer i en produktionsmiljö beror det oftast på att synkroniseringen misslyckades förra gången så att servertiden blir felaktig. Upprepa tidssynkroniseringen (eventuellt med en mer pålitlig tidsserver) för att snabbt lösa problemet.

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
1052273561369903304
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false