Mensajes de error de aplicaciones SAML

Si te aparece algún mensaje de error de las aplicaciones de lenguaje de marcado para confirmaciones de seguridad (SAML), aquí te mostramos algunos pasos de solución de problemas que pueden ayudarte.

Codificar o decodificar solicitudes y respuestas de SAML

Utiliza la herramienta de codificación y decodificación de SAML para traducir las solicitudes y respuestas del archivo HAR (formato de archivo HTTP) a un formato legible; así te resultará más fácil solucionar los problemas. Visita la página https://toolbox.googleapps.com/apps/encode_decode/

Errores al crear aplicaciones SAML

Al crear una aplicación SAML en la consola de administración, podría aparecer este mensaje de error 400:

400 duplicate entity id (ID de entidad duplicado)

Este mensaje aparece si intentas crear una aplicación con un ID de entidad que ya existe.

Para solucionar este error:

Utiliza la aplicación ya configurada o especifica un ID de entidad diferente.

Errores 500 que se producen al crear aplicaciones SAML

Al crear una aplicación SAML en la consola de administración, podrían aparecer errores 500 en los siguientes casos:

  • En la sección Información de proveedor de identidades de Google, si haces clic en el botón Descargar certificado o Descargar metadatos cuando el servicio de backend de certificados no está disponible, aparece un mensaje de error 500 en la parte superior de la pantalla.
  • Al cargar los esquemas en NameID Mapping o en Attribute Mapping, si se agota el tiempo de espera del servicio de esquemas o se muestra una excepción de backend, aparece un mensaje de error 500 en la parte superior de la pantalla.
  • Si el servicio Service Provider Config no está disponible, aparece un mensaje de error 500 en la parte superior de la pantalla al hacer clic en Finalizar.

Para solucionar estos errores:

Espera un rato y vuelve a intentarlo. Si los mensajes de error siguen apareciendo, ponte en contacto con el equipo de asistencia de Google Cloud.

Errores del entorno de ejecución de SAML

Cuando pruebas el inicio de sesión único (SSO) de SAML en flujos iniciados por el proveedor de identidades (IdP) o por el proveedor de servicios (SP), pueden aparecer los siguientes mensajes de error:

403 app_not_configured (Aplicación no configurada)

Este error se puede producir en estos casos:

  • En un flujo iniciado por el SP, la aplicación correspondiente al ID de entidad mencionado en la solicitud no se ha creado en la consola de administración.

  • En un flujo iniciado por el SP, el ID de entidad proporcionado en la solicitud SAMLRequest no coincide con ninguno de los ID de entidad de las aplicaciones instaladas actualmente. Si alguien manipula el ID de aplicación (ID de SP) que figura en la URL iniciada por el IdP, aparece el mensaje de error app_not_configured.

Para solucionar este error:

  1. Antes de iniciar la solicitud, comprueba que se ha instalado la aplicación correspondiente al ID de entidad que figura en ella.
  2. Asegúrate de que el ID de entidad que se proporciona en la solicitud SAMLRequest es correcto y coincide con el que especificaste al crear la aplicación.
  3. Asegúrate de que el ID de SP que se incluye en la URL de la solicitud coincide con el de app-id app_not_enabled.

403 app_not_configured_for_user (Aplicación no configurada en cuentas de usuarios)

Para solucionar este error:

Comprueba que el valor de la etiqueta saml:Issuer de la solicitud SAMLRequest coincide con el de ID de entidad configurado en la sección Datos del proveedor de servicios de SAML de la consola de administración. Este valor distingue entre mayúsculas y minúsculas.

400 The application with the corresponding entity id is not enabled for the user (La aplicación con el ID de entidad correspondiente no está habilitada en la cuenta de usuario)

Para solucionar este error:

  1. Ve al menú adicional.
  2. Activa el servicio en todas las cuentas de usuario o en la organización del usuario.

400 saml_invalid_user_id_mapping (Asignación de ID de usuario no válida en SAML)

Si un proveedor de servicios envía un parámetro NAMEID en la solicitud SAMLRequest, dicho parámetro debe ser idéntico al configurado en el IdP. De lo contrario, se producirá un error en la solicitud SAMLRequest y aparecerá este mensaje de error.

Para solucionar este error:

  1. Ve a Información básica y comprueba el parámetro NAMEID.
  2. Asegúrate de que el parámetro NAMEID que figura en la solicitud SAMLRequest es idéntico al configurado en el IdP.

400 saml_invalid_sp_id (ID de SP no válido en SAML)

Este mensaje de error aparece cuando el ID de SP incluido en la URL del flujo del IdP es incorrecto debido a un error de configuración o a una manipulación de la URL.

Para solucionar este error:

  1. Ve a Información básica y comprueba el campo app-id.

  2. Asegúrate de que el ID de SP que se incluye en la URL de la solicitud coincide con el de app-id.

La respuesta de SAML devuelve el estado de DENIED (Denegado) en las situaciones que se indican más abajo. Es posible que aparezca uno de estos tres mensajes de error relacionados.

SP-initiated Flow Invalid request, ACS URL in request $parameter doesn't match configured ACS URL $parameter (Solicitud no válida en el flujo iniciado por el SP; la URL ACS del valor $parameter de la solicitud no coincide con la del valor $parameter configurado)


En este caso, la URL ACS especificada en la solicitud SAMLRequest y la URL ACS configurada en la consola de administración para la aplicación correspondiente no coinciden.

Para solucionar este error:

  1. Ve a Datos del proveedor de servicios.

  2. Comprueba que la URL ACS coincida con la de la solicitud SAMLRequest.

Invalid idpid provided in the url (El ID de IdP proporcionado en la URL no es válido)

Este mensaje de error significa que el ID de IdP (ID de cliente ofuscado) proporcionado en la URL se ha manipulado y no es correcto. 

Para solucionar este error:

  1. Ve a la página Información de proveedor de identidades de Google.

  2. Consulta el ID de IdP que se encuentra al final de la URL del ID de entidad.

  3. Asegúrate de que el ID de IdP de la URL de la solicitud coincide con el de la URL del ID de entidad.

IdP-initiated Flow Invalid idpid provided in the request (El ID de IdP proporcionado en la solicitud del flujo iniciado por el IdP no es válido)

El usuario que realiza la llamada ha manipulado la URL de SSO iniciada por el IdP y ha cambiado el ID de IdP por otro ID de cliente (ofuscado).

Para solucionar este error:

  1. Ve a la página Información de proveedor de identidades de Google.

  2. Consulta el ID de IdP que se encuentra al final de la URL del ID de entidad.

  3. Asegúrate de que el ID de IdP de la URL de la solicitud coincide con el de la URL del ID de entidad.

Errores 500 que se producen al probar un flujo de SSO de SAML

Cuando tus usuarios prueban el SSO de SAML en flujos iniciados por el IdP o por el SP, puede aparecer alguno de los diferentes errores 500 que se producen cuando los procesos de backend no están disponibles.

Para solucionar estos errores:

Espera y vuelve a probar el flujo. Si el problema no se soluciona, ponte en contacto con el equipo de asistencia de Google Cloud.

Mensajes de error de acceso a aplicaciones SAML

Error 1000 al acceder a la página de una aplicación SAML

Para solucionar este error:

Ponte en contacto con el equipo de asistencia de Google Cloud.

Error 1000 al acceder a la configuración de una aplicación SAML

Para solucionar este error:

Ponte en contacto con el equipo de asistencia de Google Cloud.

Error al eliminar el esquema de un usuario de una aplicación SAML

400

Este error se produce al intentar eliminar un esquema personalizado asociado como una asignación de atributo de una aplicación SAML que ya se ha eliminado. Si has creado el esquema antes de solucionar este problema, se puede producir este error. 

Para solucionar este error:

Ponte en contacto con el equipo de asistencia de Google Cloud.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?