Tek Oturum Açma (TOA) Sorunlarını Giderme

Bu dokümanda, servis sağlayıcı Google iken SAML tabanlı Tek Oturum Açma (TOA) özelliğinin G Suite ile entegrasyonu veya kullanımı sırasında sıklıkla karşılaşılan hata mesajlarının çözülebilmesi için talimatlar sunulmuştur.

Yapılandırma ve Etkinleştirme

"Bu alan, Tek Oturum Açma özelliğini kullanacak şekilde yapılandırılmamış."

Bu hata genellikle; Tek Oturum Açma özelliğini, G Suite'in, şu an için desteklenmeyen bir Standart (Ücretsiz) Sürümü ile kullanmaya çalıştığınızı gösterir. G Suite, Eğitim Sürümü veya İSS'leri kullanmakta olduğunuzdan eminseniz G Suite alan adını doğru şekilde girdiğinizden emin olmak için Kimlik Sağlayıcınızdaki yapılandırmayı kontrol edin.

"Alan hatalı yapılandırıldığından, bu hesaba erişilemiyor. Lütfen daha sonra tekrar deneyin."

Bu hata, Tek Oturum Açma özelliğini Google Apps Kontrol Panelinizde doğru bir şekilde kurmadığınızı gösterir. Lütfen bu durumu düzeltmek için aşağıdaki adımları inceleyin:

  1. Google Yönetici konsolunda, Güvenlik > Tek oturum açma (TOA) seçeneğine gidin ve Üçüncü taraf kimlik sağlayıcı ile TOA ayarlarını yap kutusunu işaretleyin.
  2. Kuruluşunuzun oturum açma, oturumu kapatma ve şifre değiştirme sayfalarının URL'lerini ilgili alanlara girin.
  3. Doğrulama sertifikası alanında geçerli bir doğrulama sertifikası dosyası seçip yükleyin.
  4. Değişiklikleri kaydet'i tıklayın, yaptığınız değişikliklerin geçerlilik kazanması için birkaç dakika bekleyin ve sonra entegrasyonunuzu tekrar test edin.

SAML Yanıtını Ayrıştırma

"Gerekli yanıt parametresi SAMLResponse eksikti"

Bu hata iletisi, Kimlik Sağlayıcınızın Google'a bu türde geçerli bir SAML yanıtı sağlamadığını gösterir. Bu sorunun en olası nedeni Kimlik Sağlayıcı'daki bir yapılandırma sorunudur.

  • Kimlik Sağlayıcı günlüklerinizi kontrol edin ve SAML Yanıtı döndürmesini engelleyen bir şey olmadığından emin olun.
  • Kimlik Sağlayıcınızın G Suite'e şifrelenmiş bir SAML Yanıtı göndermediğinden emin olun. G Suite yalnızca şifrelenmemiş SAML Yanıtlarını kabul eder. Özellikle Microsoft Active Directory Federasyon Hizmetleri 2.0 sürümünün, varsayılan yapılandırmalarda genellikle şifrelenmiş SAML Yanıtları gönderdiğini unutmayın.
"Gerekli yanıt parametresi RelayState eksikti"

SAML 2.0 spesifikasyonu, Kimlik Sağlayıcıların, Kaynak Sağlayıcılardan (ör. G Suite) bir RelayState URL parametresi almasını ve bunu geri göndermesini gerektirir. G Suite, bu değeri SAML İsteğinde Kimlik Sağlayıcıya sunar. İçerikler ise her girişte bazı farklılıklara sahip olabilir. Kimlik doğrulamanın başarıyla tamamlanması için RelayState, SAML Yanıtında tamamen aynı şekilde döndürülmelidir. SAML standart spesifikasyonuna göre Kimlik Sağlayıcınız, giriş akışı sırasında RelayState parametresinde değişiklik yapmamalıdır.

  • Bir oturum açma girişimi sırasında HTTP üstbilgilerini yakalayarak bu sorunu daha kapsamlı bir şekilde inceleyin. RelayState parametresini SAML İsteği ve Yanıtıyla birlikte HTTP üstbilgilerinden çıkartın ve hem İstek hem de Yanıttaki RelayState değerlerinin birbiriyle aynı olmasını sağlayın.
  • Piyasadaki ticari veya açık kaynaklı TOA Kimlik Sağlayıcıların çoğu RelayState parametresini varsayılan olarak sorunsuz şekilde iletmektedir. En ileri düzeyde güvenlik ve güvenilirlik için bu mevcut çözümlerden birini kullanmanızı öneriyoruz ve kendi TOA yazılımınız için destek sunamadığımızı hatırlatmak istiyoruz.

SAML Yanıtının İçerikleri

"Giriş isteğiniz geçersiz [hedef|kitle|alıcı] bilgisi içerdiğinden bu hizmete erişilemiyor. Lütfen giriş yapıp tekrar deneyin."

Bu hata, SAML Onaylama işleminde hedef, kitle veya alıcı öğelerinin geçersiz bilgi içerdiğini ya da boş olduğunu belirtir. SAML onaylama işlemine her iki öğenin de dahil edilmesi zorunludur. Her bir öğeyle ilgili açıklamalar ve örnekler için aşağıdaki tabloyu inceleyin.

Öğe <Audience>
Açıklama Hedeflenen kitleyi tanımlayan URI'dır ve ACS URI değerini gerektirir. Not: Öğe değeri boş olamaz.
Gerekli Değer https://www.google.com/a/<alaniniz.com>/acs
Örnek

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"

NotOnOrAfter="2014-11-05T17:37:07Z"
<saml:AudienceRestriction>
<saml:Audience>https://wwww.google.com/a/alaniniz.com/acs<saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

 

Öğe <StatusResponseType> türündeki Destination özelliği
Açıklama "SAML assertion"ın gönderildiği yerin URI'sı. Bu, isteğe bağlı bir özellik olmakla beraber, belirtilmesi durumunda ACS URI'sı değeri gerektirecektir.
Gerekli Değer https://www.google.com/a/<alaniniz.com>/acs
Örnek

<saml:Response
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"

xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"

Destination+"https://wwww.google.com/a/alaniniz.com/acs
       InResponseTo="midihfjkfkpcmbmfhhoehbokhbkeapbbinldpeen">

 

Öğe <SubjectConfirmationData> öğesinin Recipient özelliği
 
Açıklama

Recipient özelliği, Konuyu alması planlanan varlığı  
tanımlar.

ACS URI'sini içermesi gereken gerekli özellik.

Not: Büyük/küçük harfe duyarlıdır.

 

Zorunlu

Değer

https://www.google.com/a/<alaniniz.com>/acs
 
Örnek

<saml:Subject>

<saml:NameID SPNameQualifier="google.com/a/alaniniz.com"

Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email">kullanici@alaniniz.com</saml:NameID>

<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">

<saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z"

Recipient="https://www.google.com/a/alaniniz.com/acs"

InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"

</saml:SubjectConfirmation> 

Gerekli tüm öğelerle ilgili ayrıntılar için lütfen TOA onayı gereksinimleri başlıklı makaleyi inceleyin.

"Giriş isteğiniz alıcı bilgisi içermediği için bu hizmete erişilemiyor. Lütfen giriş yapıp tekrar deneyin."

Bu hata genellikle Kimlik Sağlayıcınızdan gelen SAML Yanıtında okunabilir bir Recipient değeri olmadığı (veya Recipient değerinin yanlış olduğu) anlamına gelir. Recipient değeri, SAML Yanıtının önemli bir bileşenidir.

  1. Bir oturum açma girişimi sırasında HTTP üstbilgilerini yakalayarak bu sorunu daha kapsamlı bir şekilde inceleyin.
  2. HTTP üstbilgilerinden SAML İsteğini ve Yanıtını çıkartın.
  3. SAML Yanıtında Recipient değerinin mevcut olduğundan ve bu değerin SAML Yanıtındaki değerle aynı olduğundan emin olun.

Not: Bu hata mesajı şu şekilde de görüntülenebilir: "Giriş isteğiniz geçersiz alıcı bilgileri içerdiği için bu hizmete erişilemiyor. Lütfen giriş yapıp tekrar deneyin."

"Oturum açma kimlik bilgileriniz doğrulanamadığı için bu hesaba erişilemiyor."

Bu hata, kimlik doğrulama akışını imzalamak için kullandığınız sertifikalarda bir sorun olduğunu gösterir. Bu genellikle, SAML Yanıtını imzalamak için kullanılan özel anahtarın, G Suite kayıtlarında olan genel anahtar sertifikasıyla eşleşmediği anlamına gelir.

Bu hata aynı zamanda SAML Yanıtınızın uygun bir Google Hesapları kullanıcı adı içermediği anlamına da gelebilir. G Suite NameID adındaki XML öğesi için SAML Yanıtını ayrıştırır ve bu öğenin ya bir G Suite kullanıcı adı ya da tam G Suite e-posta adresi içermesini bekler.

  • G Suite Denetim Masanızda, Gelişmiş Araçlar > Tek oturum açma özelliğini kur bölümüne giderek TOA ayarları sayfanıza erişin. Geçerli bir sertifika kullandığınızdan emin olun ve bu sertifikayı TOA ayarları formundan tekrar yükleyin.
  • NameID öğenizde tam e-posta adresi kullanıyorsanız (birden çok alan adına sahip bir Apps ortamında TOA kullanıyorsanız tam e-posta adresi kullanıyor olmanız gerekir), NameID öğesinin Format özelliğinin tam e-posta adresinin kullanılacağını belirttiğinden emin olun. Örnek: Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
  • NameID öğesini geçerli bir kullanıcı adı veya e-posta adresi dışında bir şeyle (veritabanı kimliği alanı gibi) doldurmadığınıza emin olun. Emin olmak için G Suite'e gönderdiğiniz SAML Yanıtını çıkartın ve NameID öğesinin değerinin doğru olup olmadığını kontrol edin.
  • Kimlik Sağlayıcınız, SAML Onaylama işleminizi şifreliyorsa bu şifrelemeyi devre dışı bırakın ve Onaylama işleminin G Suite ile okunabilmesi için Google'a şifrelenmemiş bir biçimde gönderildiğinden emin olun.
  • SAML Yanıtında standart olmayan ASCII karakterlerin bulunmadığından emin olun. Bu sorun en sık, AttributeStatement öğesindeki DisplayName, GivenName ve Surname özelliklerinde görülür.

Örneğin:
<Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue>
</Attribute>
<Attribute  
Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<AttributeValue>Eva</AttributeValue>
</Attribute>
<Attribute  
Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue>
</Attribute>

Bu özellikler desteklenmez, dolayısıyla atlanabilir. Atlanması  
mümkün değilse o zaman yalnızca standart ASCII karakterler içermelidir. 
 

"Giriş kimlik bilgilerinizin süresi dolduğu için bu hizmete erişilemiyor. Lütfen oturum açıp tekrar deneyin."

Güvenlikle açısından TOA giriş akışının belirli bir zaman aralığı içinde tamamlanması gerekir; aksi takdirde kimlik doğrulama başarısız olur. Kimlik Sağlayıcınızdaki saat doğru değilse oturum açma girişimlerinin çoğu veya tümü, kabul edilebilir zaman aralığının kapsamı dışında görünür ve kimlik doğrulama, yukarıdaki hata iletisiyle başarısız olur.

  • Kimlik Sağlayıcınızın sunucusunda saati kontrol edin. Bu hata hemen hemen her zaman, Kimlik Sağlayıcı saatinin yanlış olmasından kaynaklanır. Bu da, SAML Yanıtına yanlış zaman damgalarının eklenmesine neden olur.
  • Kimlik Sağlayıcı sunucu saatini, güvenilir bir İnternet saat sunucusu ile yeniden senkronize edin. Bir üretim ortamında bu sorun aniden meydana gelirse, nedeni büyük olasılıkla senkronizasyonun başarısız olmasıdır; bu da, sunucu saatinin yanlış olmasına neden olur. Saat senkronizasyonunun tekrar edilmesiyle (mümkünse daha güvenilir bir saat sunucusu ile) bu sorun çok kısa sürede çözülecektir.
  • Bu sorun aynı zamanda, SAML'yi daha önceki bir oturum açma girişiminden yeniden gönderdiğinizde de meydana gelir. SAML İsteğinizi ve Yanıtınızı (oturum açma girişimi sırasında yakalanan HTTP üstbilgi günlüklerinden elde edilen) incelemeniz, bu hatanın daha iyi ayıklanmasına yardımcı olur.
"Giriş kimlik bilgileriniz henüz geçerli olmadığından bu hizmete erişemezsiniz. Lütfen giriş yapıp tekrar deneyin."

Güvenlikle açısından TOA giriş akışının belirli bir zaman aralığı içinde tamamlanması gerekir; aksi takdirde kimlik doğrulama başarısız olur. Kimlik Sağlayıcınızdaki saat doğru değilse oturum açma girişimlerinin çoğu veya tümü, kabul edilebilir zaman aralığının kapsamı dışında görünür ve kimlik doğrulama, yukarıdaki hata iletisiyle başarısız olur.

  • Kimlik Sağlayıcınızın sunucusunda saati kontrol edin. Bu hata hemen hemen her zaman, Kimlik Sağlayıcı saatinin yanlış olmasından kaynaklanır. Bu da, SAML Yanıtına yanlış zaman damgalarının eklenmesine neden olur.
  • Kimlik Sağlayıcı sunucu saatini, güvenilir bir İnternet saat sunucusu ile yeniden senkronize edin. Bir üretim ortamında bu sorun aniden meydana gelirse, nedeni büyük olasılıkla senkronizasyonun başarısız olmasıdır; bu da, sunucu saatinin yanlış olmasına neden olur. Saat senkronizasyonunun tekrar edilmesiyle (mümkünse daha güvenilir bir saat sunucusu ile) bu sorun çok kısa sürede çözülecektir.
Bu size yardımcı oldu mu?
Bunu nasıl iyileştirebiliriz?