Felsökning enkel inloggning (SSO, single sign-on)

I detta dokument finns steg för att lösa vanliga felmeddelande vid integration eller användning av SAML-baserad enkel inloggning (SSO) med G Suite.

Konfiguration och aktivering

Denna domän är inte konfigurerad för enkel inloggning.

Felet indikerar vanligtvis att du försöker använda enkel inloggning med en (kostnadsfri) standardversion av G Suite, som inte stöds för närvarande. Om du är säker på om du använder G Suite, Education eller ISP:er kollar du konfigurationen för identitetsleverantören för att försäkra dig om att du har angett ditt Apps-domännamn korrekt.

"Det här kontot kan inte nås eftersom domänen är felaktigt konfigurerad. Försök igen senare. "

Det här felet indikerar att du inte har ställt in enkel inloggning korrekt i Apps-kontrollpanelen. Läs igenom följande steg för att rätta till problemet:

  1. I Googles administratörskonsol öppnar du Säkerhet > Konfigurera enkel inloggning (SSO) och kryssrutan Konfigurera SSO med extern identitetsleverantör.
  2. Ange webbadresser för din organisations inloggningssida, utloggningssida och sida för att ändra lösenord i respektive fält.
  3. I fältet Verifieringscertifikat väljer du och överför en giltig fil för verifieringscertifikat.
  4. Klicka på Spara ändringar, vänta några minuter för att ändringarna ska träda i kraft, och testa integrationen igen.

Kontrollerar SAML-svaret

"Den erforderliga responsparametern SAMLResponse saknades"

Felmeddelandet indikerar att din identitetsleverantör inte skickar Google ett giltigt SAML-svar av något slag. Problemet beror nästan helt säkert på ett konfigurationsproblem hos identitetsleverantören.

  • Kontrollera identitetsleverantörens loggar och kontrollera att det inte finns något som hindrar korrekt återgivning av ett SAML-svar.
  • Se till att din identitetsleverantör inte skickar G Suite ett krypterat SAML-svar. G Suite accepterar endast SAML-svar som är okrypterade. Notera särskilt att Microsofts Active Directory Federation Services 2.0 ofta skickar krypterade SAML-svar i standardkonfigurationer.
"Den erforderliga responsparametern RelayState saknades"

SAML 2.0-specifikationen kräver att identitetsleverantörerna hämtar och skickar tillbaka en URL-parameter för RelayState från resursleverantörerna (t.ex. Google Apps). G Suite förmedlar detta värde till identitetsleverantören i SAML-begäran och det exakta innehållet kan variera i varje inloggning. För att autentiseringen ska kunna slutföras måste exakt RelayState återges i SAML-svaret. Enligt SAML-standardspecifikationen ska inte din identitetsleverantör ändra RelayState under inloggningsflödet.

  • Diagnosticera frågan ytterligare genom att spara HTTP-huvudena under ett inloggningsförsök. Extrahera RelayState från HTTP-huvud med både SAML-förfrågan och -respons, och se till att RelayState-värdena i förfrågan och respons matchar varandra.
  • De flesta SSO-identitetsleverantörer som är kommersiellt tillgängliga eller har öppen källkod överför RelayState sömlöst som standard. För optimal säkerhet och pålitlighet rekommenderar vi att du använder någon av de befintliga lösningarna. Vi kan inte erbjuda support för någon egen, anpassad SSO-programvara.

Innehåll i SAML-svaret

"Den här tjänsten kan inte nås eftersom din inloggningsförfrågan innehöll ogiltig information om [destination|audience]. Logga in och försök igen."

Det här felet indikerar att destinationen, målgruppen eller mottagarelementen i SAML-påståendet innehöll ogiltig information eller var tomma. Båda elementen måste ingå i SAML-kontrollen. Följande tabell innehåller beskrivningar och exempel för varje element.

Element <Audience>
Beskrivning URI som identifierar den tänkta målgruppen som kräver värdet från ACS URI. Obs! Elementvärdet får inte vara tomt.
Obligatoriskt värde https://www.google.com/a/<dindomän.com>/acs
Exempel

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"

NotOnOrAfter="2014-11-05T17:37:07Z"
<saml:AudienceRestriction>
<saml:Audience>https://wwww.google.com/a/yourdomain.com/acs<saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

 

Element Destinationsattribut i typen <StatusResponseType>
Beskrivning URI som SAML-kontrollen skickas till. Det är ett valfritt attribut, men om det anges kräver det värdet från ACS URI
Obligatoriskt värde https://www.google.com/a/<dindomän.com>/acs
Exempel

<saml:Response
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"

xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"

Destination+"https://wwww.google.com/a/yourdomain.com/acs
       InResponseTo="midihfjkfkpcmbmfhhoehbokhbkeapbbinldpeen">

 

Element Mottagarattribut för <SubjectConfirmationData>
 
Beskrivning

Mottagarattributet definierar den enhet som är avsedd att ta emot  
ämnet.

Obligatoriskt attribut som måste innehålla ACS-URI.

Obs! Skiftlägeskänsligt.

 

Obligatoriskt

Värde

https://www.google.com/a/<dindomän.com>/acs
 
Exempel

<saml:Subject>

<saml:NameID SPNameQualifier="google.com/a/dindomän.se"

Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email">user@yourdomain.com</saml:NameID>

<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">

<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"

Recipient="https://www.google.com/a/dindomän.se/acs"

InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"

</saml:SubjectConfirmation> 

Om du vill ha information om alla obligatoriska element läser du artikeln Krav för SSO-kontroller.

"Den här tjänsten kan inte nås eftersom din inloggningsförfrågan inte innehöll någon information om mottagaren. Logga in och försök igen."

Detta fel indikerar vanligtvis att SAML-responsen från din identitetsleverantör saknar ett läsbart mottagar-värde (eller att mottagar-värdet är felaktigt). Mottagarvärdet är en viktig del av SAML-svaret.

  1. Diagnosticera frågan ytterligare genom att spara HTTP-huvudena under ett inloggningsförsök.
  2. Extrahera SAML-begäran och -svar från HTTP-huvudena.
  3. Se till att mottagarvärdet i SAML-responsen existerar och att det matchar värdet i SAML-förfrågan.

Obs: detta felmeddelande kan också visas som "Den här tjänsten kan inte nås eftersom din inloggningsförfrågan innehöll ogiltig information om mottagaren. Logga in och försök igen."

Det går inte att komma åt det här kontot eftersom det inte gick att verifiera dina inloggningsuppgifter.

Felet indikerar ett problem med certifikaten som du använder för att signera autentiseringsflödet. Det betyder vanligtvis att den privata nyckel som används för att signera SAML-svaret inte överensstämmer med det allmänna nyckelcertifikat som Google Apps har lagrat.

Felet kan också betyda att ditt SAML-svar inte innehåller ett giltigt användarnamn för Google-kontot. G Suite tolkar SAML-responsen för ett XML-element som kallas för NameID, och förväntar sig att detta element antingen innehåller ett G Suite-användarnamn eller en fullständig e-postadress i G Suite.

  • Öppna inställningssidan för SSO i Apps-kontrollpanelen genom att navigera till Avancerade verktyg > Konfigurera enkel inloggning. Se till att du använder ett giltigt certifikat och överför det igen i inställningsformuläret för SSO.
  • Om du använder en hel mailadress i ditt NameID-element (vilket du måste göra om du använder SSO med en Apps-miljö för flera domäner), ska du se till att format-attributet för NameID-elementet specificerar att en hel mailadress ska användas, som i följande exempel: Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
  • Se till att du inte fyller i NameID-elementet med något annat än ett giltigt användarnamn eller e-postadress, till exempel ett fält för databas-id. För att vara säker kan du extrahera SAML-responsen som du skickar till G Suite, och kontrollera att värdet för NameID-elementet är korrekt.
  • Om din identitetsleverantör krypterar din SAML-kontroll ska du avaktivera krypteringen och se till att kontrollen skickas till Google i okrypterat format så att den kan läsas av Apps.
  • Kontrollera att icke-standardiserade ASCII-tecken inte ingår i SAML-svaret. Problemet förekommer oftast i attributen DisplayName, GivenName och Surname i AttributeStatement.

Exempel:
<Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue>
</Attribute>
<Attribute  
Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<AttributeValue>Eva</AttributeValue>
</Attribute>
<Attribute  
Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue>
</Attribute>

Dessa attribut stöds inte och kan därför utelämnas. Om det inte går att utelämna  
ska de enbart innehålla standardmässiga ASCII-tecken. 
 

"Den här tjänsten kan inte nås eftersom dina inloggningsuppgifter har slutat gälla. Logga in och försök igen."

Av säkerhetsskäl måste SSO-inloggningsflödet slutföras inom en viss tid för att autentiseringen ska lyckas. Om klockan på din identitetsleverantör inte går rätt verkar det som att de flesta eller alla inloggningsförsök görs utanför den godkända tidsramen och autentiseringen kommer att misslyckas. Ovanstående felmeddelande visas.

  • Kontrollera klockan på din identitetsleverantörs server. Felet beror nästan alltid på att identitetsleverantörens klocka går fel, vilket infogar felaktiga tidsstämplar i SAML-svaret.
  • Synkronisera om identitetsleverantörens serverklocka med en pålitlig tidserver på internet. När detta plötsligt händer i en produktionsmiljö beror det oftast på att synkroniseringen misslyckades förra gången så att servertiden blir felaktig. Upprepa tidssynkroniseringen (eventuellt med en mer pålitlig tidsserver) för att snabbt lösa problemet.
  • Problemet kan också uppstå om du skickar om SAML från ett tidigare inloggningsförsök. Att undersöka SAML-begäran och -svaret (hämtas från HTTP-huvudloggarna som sparats under ett inloggningsförsök) kan hjälpa dig att felsöka detta vidare.
"Den här tjänsten kan inte nås eftersom dina inloggningsuppgifter inte börjat gälla än. Logga in och försök igen."

Av säkerhetsskäl måste SSO-inloggningsflödet slutföras inom en viss tid för att autentiseringen ska lyckas. Om klockan på din identitetsleverantör inte går rätt verkar det som att de flesta eller alla inloggningsförsök görs utanför den godkända tidsramen och autentiseringen kommer att misslyckas. Ovanstående felmeddelande visas.

  • Kontrollera klockan på din identitetsleverantörs server. Felet beror nästan alltid på att identitetsleverantörens klocka går fel, vilket infogar felaktiga tidsstämplar i SAML-svaret.
  • Synkronisera om identitetsleverantörens serverklocka med en pålitlig tidserver på internet. När detta plötsligt händer i en produktionsmiljö beror det oftast på att synkroniseringen misslyckades förra gången så att servertiden blir felaktig. Upprepa tidssynkroniseringen (eventuellt med en mer pålitlig tidsserver) för att snabbt lösa problemet.
Var det här till hjälp?
Hur kan vi förbättra den?