В этой статье объясняется, как исправить возможные ошибки при интеграции и использовании системы единого входа на базе SAML в Google Workspace, если Google является поставщиком услуг.
Конфигурация и активация
"Конфигурация этого домена не позволяет использовать единый набор реквизитов".Эта ошибка обычно указывает на то, что вы пытаетесь использовать систему единого входа в бесплатной (стандартной) версии G Suite, в которой эта возможность недоступна. Если вы уверены, что используете версию Google Workspace с поддержкой единого входа, проверьте конфигурацию поставщика идентификационной информации, чтобы убедиться, что вы правильно ввели доменное имя Google Workspace.
Если эта ошибка произошла после настройки системы единого входа с использованием профилей, вероятно, ваш поставщик идентификационной информации ошибочно предположил, что вы используете профиль системы единого входа для вашей организации. В таком случае настройки профиля вашего поставщика идентификационной информации можно использовать только для настройки профиля вашей организации.
Эта ошибка указывает, что вы не настроили систему единого входа в консоли администратора Google надлежащим образом. Чтобы исправить ошибку, выполните следующие действия:
- В консоли администратора Google откройте раздел Безопасность
Настройка системы единого входа с использованием стороннего поставщика идентификационной информации и установите флажок Настроить систему единого входа со сторонним поставщиком идентификационной информации.
- Укажите URL для страниц входа, выхода и изменения пароля в соответствующих полях.
- Выберите и загрузите файл действительного проверочного сертификата.
- Нажмите Сохранить, подождите пару минут, пока выбранные настройки не будут применены в системе, и попробуйте войти ещё раз.
Настройка системы единого входа с использованием стороннего поставщика идентификационной информации и установите флажок Настроить систему единого входа со сторонним поставщиком идентификационной информации.Анализ ответов SAML
"Отсутствует обязательный параметр ответа SAMLResponse".Это сообщение указывает на то, что поставщик услуг аутентификации не предоставил Google соответствующий ответ SAML. В большинстве случаев это связано с ошибками в конфигурации у поставщика.
- Проверьте журналы поставщика и убедитесь, что ничего не препятствует правильной отправке ответов SAML.
- Убедитесь, что ваш поставщик идентификационной информации не шифрует ответы SAML при их отправке в Google Workspace. Google Workspace принимает эти данные только в незашифрованном виде. В частности, обратите внимание, что служба Microsoft Active Directory Federation Services 2.0 по умолчанию отправляет зашифрованные ответы SAML.
В спецификации для SAML 2.0 указано, что поставщик идентификационной информации получает значение параметра URL RelayState от поставщика ресурса (например, Google Workspace) и отправляет его обратно. Google Workspace предоставляет это значение поставщику идентификационной информации в запросе SAML, и оно может изменяться при каждом входе. Для успешного завершения аутентификации в ответе SAML должно содержаться точное значение параметра RelayState. Согласно спецификации стандарта SAML, поставщик услуг аутентификации не должен изменять значение RelayState в процессе входа.
- Чтобы установить причину проблемы, зафиксируйте заголовки HTTP при попытке входа. Извлеките значение RelayState из заголовков HTTP запроса и ответа SAML, а затем убедитесь, что эти значения совпадают.
- Большинство поставщиков услуг аутентификации для коммерческих и бесплатных систем единого входа по умолчанию передают точное значение RelayState. Чтобы добиться максимального уровня безопасности и надежности, мы рекомендуем использовать уже существующие решения и не поддерживаем системы единого входа, разработанные пользователями.
Содержание ответов SAML
"Невозможно получить доступ к службе, так как запрос на вход содержал недопустимые данные ([destination|audience|recipient]). Войдите в систему и повторите попытку".Эта ошибка указывает на то, что элементы destination, audience или recipient в выражении SAML содержат недопустимые данные или значения для них не указаны. Все эти элементы должны быть включены в утверждение SAML. Описание и примеры каждого элемента приводятся в таблице.
| Элемент | <Audience> |
|---|---|
| Описание | URI определяет целевую аудиторию. Требуется значение URI ACS. Примечание: это поле не должно быть пустым. |
| Требуемое значение | https://www.google.com/a/<example.com>/acs |
| Пример |
<saml:Conditions NotBefore="2014-11-05T17:31:37Z" |
| Элемент | Атрибут Destination типа <StatusResponseType> |
|---|---|
| Описание | URI, по которому отправляется утверждение SAML. Это необязательный атрибут. Если он заявлен, то должен содержать значение URI ACS. |
| Требуемое значение | https://www.google.com/a/<example.com>/acs |
| Пример |
<saml:Response |
| Элемент | Атрибут Recipient типа <SubjectConfirmationData> |
|---|---|
| Описание |
|
| Требуемое значение | https://www.google.com/a/<example.com>/acs |
| Пример |
<saml:Subject> |
Подробное описание всех обязательных элементов приведено в этой статье.
Эта ошибка обычно указывает на то, что в ответе SAML поставщика идентификационной информации отсутствует распознаваемое значение Recipient или оно указано неправильно. Значение Recipient – важный элемент ответов SAML.
- Чтобы установить причину проблемы, зафиксируйте заголовки HTTP при попытке входа.
- Извлеките запрос и ответ SAML из заголовков HTTP.
- Убедитесь, что в ответе SAML есть значение Получатель, которое совпадает с аналогичным значением в запросе SAML.
Примечание. При возникновении этой ошибки также может появляться сообщение "К этой службе невозможно получить доступ, поскольку ваш запрос на вход содержит неверную информацию о получателе. Войдите и повторите попытку."
Эта ошибка указывает на проблему с сертификатами, которые вы используете для аутентификации. Как правило, это значит, что закрытый ключ, используемый для подписи ответа SAML, не соответствует сертификату открытого ключа в системе Google Workspace.
Ошибка также может означать, что в ответе SAML не содержится действительное имя пользователя аккаунта Google. В системе Google Workspace из ответов SAML выделяется XML-элемент NameID, который должен содержать имя пользователя Google Workspace или полный адрес электронной почты пользователя Google Workspace.
- Убедитесь, что вы загрузили в Google Workspace действительный сертификат. Если необходимо, замените его. В консоли администратора Google откройте раздел Безопасность
- Если вы указываете полный адрес электронной почты в элементе NameID (такой формат обязателен для системы единого входа в многодоменной среде Google Workspace), убедитесь, что значение атрибута Format элемента NameID предписывает использовать полный адрес. Пример: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
- Элемент NameID должен содержать действительное имя пользователя или адрес электронной почты. Чтобы проверить NameID, извлеките ответ SAML, который вы отправляете в Google Workspace, и обратите внимание на содержащееся в нем значение.
- Регистр букв имеет значение. Убедитесь, что из ответа SAML для элемента NameID выделяется имя пользователя Google Workspace или адрес электронной почты с учетом регистра.
- Если ваш поставщик идентификационной информации шифрует подтверждения SAML, отключите шифрование.
- Убедитесь, что в ответе SAML не используются нестандартные символы ASCII. Эта ошибка обычно возникает в атрибутах DisplayName, GivenName и Surname в AttributeStatement. Например:
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue> </Attribute> - <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
Более подробную информацию о формате элемента NameID можно найти в требованиях к утверждениям системы единого входа.
По соображениям безопасности вход в системе SSO должен выполняться за определенное время, иначе произойдет сбой аутентификации. Если у вашего поставщика услуг аутентификации время установлено неправильно, большинство попыток входа не будет вписываться в необходимый интервал. В таком случае появится указанное выше сообщение об ошибке.
- Проверьте часы на сервере поставщика услуг аутентификации. Из-за ошибок в их настройке ответ SAML содержит неверные временные метки.
- Синхронизируйте часы на сервере поставщика с надежным источником в интернете. Если подобная ошибка неожиданно происходит в уже работающей системе, она обычно связана со сбоем синхронизации, в результате которого время на сервере становится неточным. Быстро решить эту проблему поможет повторная синхронизация с сервером точного времени (желательно – более надежным).
- Кроме того, эта ошибка может возникнуть при повторной отправке ответа SAML, использовавшегося для предыдущей попытки входа. Для отладки проверьте запросы и ответы SAML (их можно найти в журналах заголовков HTTP, зафиксированных во время последнего входа).
По соображениям безопасности вход в системе SSO должен выполняться за определенное время, иначе произойдет сбой аутентификации. Если у вашего поставщика услуг аутентификации время установлено неправильно, большинство попыток входа не будет вписываться в необходимый интервал. В таком случае появится указанное выше сообщение об ошибке.
- Проверьте часы на сервере поставщика услуг аутентификации. Из-за ошибок в их настройке ответ SAML содержит неверные временные метки.
- Синхронизируйте часы на сервере поставщика с надежным источником в интернете. Если подобная ошибка неожиданно происходит в уже работающей системе, она обычно связана со сбоем синхронизации, в результате которого время на сервере становится неточным. Быстро решить эту проблему поможет повторная синхронизация с сервером точного времени (желательно более надежным).
