Dokumen ini menyediakan langkah-langkah untuk menyelesaikan pesan error umum yang mungkin Anda alami selama integrasi atau penggunaan single sign-on (SSO) berbasis SAML dengan Google Workspace saat Google digunakan sebagai penyedia layanan (SP).
Konfigurasi dan Aktivasi
"Domain ini tidak dikonfigurasi untuk menggunakan single sign-on."Error ini biasanya menunjukkan bahwa Anda mencoba menggunakan Single Sign-On dengan G Suite Edisi Standar (Gratis), yang tidak mendukung SSO. Jika Anda yakin bahwa Anda menggunakan edisi Google Workspace yang mendukung SSO, periksa konfigurasinya di penyedia identitas untuk memastikan bahwa Anda telah memasukkan nama domain Google Workspace dengan benar.
Jika Anda mengalami error ini setelah menyiapkan SSO menggunakan profil, kemungkinan IdP Anda salah dengan asumsi bahwa Anda menggunakan profil SSO untuk organisasi. Jika demikian, setelan profil SSO IdP Anda mungkin hanya dapat digunakan jika Anda menggunakannya untuk mengonfigurasi profil SSO bagi organisasi.
Error ini menunjukkan bahwa Anda belum menyiapkan SSO dengan benar di konsol Google Admin. Tinjau langkah berikut untuk memperbaiki masalahnya:
- Di konsol Admin, buka KeamananSiapkan single sign-on (SSO) dengan IdP pihak ketiga, lalu centang kotak Siapkan SSO dengan penyedia identitas pihak ketiga.
- Berikan URL halaman login, halaman logout, dan halaman ubah sandi organisasi Anda di kolom yang sesuai.
- Pilih dan upload file sertifikat verifikasi yang valid.
- Klik Simpan, tunggu beberapa menit agar perubahan diterapkan, lalu uji integrasi lagi.
Mengurai Respons SAML
"Parameter respons SAMLResponse yang diperlukan tidak ada"Pesan error ini menunjukkan bahwa Penyedia Identitas Anda tidak menyediakan Respons SAML yang valid kepada Google. Masalah ini hampir dapat dipastikan karena masalah konfigurasi dalam Penyedia Identitas.
- Periksa log Penyedia Identitas dan pastikan bahwa tidak ada yang mencegahnya mengirim Respons SAML dengan benar.
- Pastikan Penyedia Identitas tidak mengirimkan Respons SAML terenkripsi ke Google Workspace. Google Workspace hanya menerima Respons SAML yang tidak dienkripsi. Khususnya, perlu diketahui bahwa Active Directory Federation Services 2.0 dari Microsoft sering mengirimkan Respons SAML terenkripsi dalam konfigurasi default.
Spesifikasi SAML 2.0 mewajibkan Penyedia Identitas mengambil dan mengirim kembali parameter URL RelayState dari Penyedia Resource (seperti Google Workspace). Google Workspace memberikan nilai ini ke Penyedia Identitas di Permintaan SAML, dan konten yang tepat dapat berbeda-beda dalam setiap login. Agar autentikasi berhasil, RelayState yang akurat harus dikirim dalam Respons SAML. Berdasarkan spesifikasi standar SAML, Penyedia Identitas tidak boleh memodifikasi RelayState selama alur login.
- Diagnosis masalah ini lebih lanjut dengan merekam header HTTP selama upaya login. Ekstrak RelayState dari header HTTP dengan Permintaan dan Respons SAML, dan pastikan bahwa nilai RelayState dalam Permintaan dan Respons cocok.
- Sebagian besar penyedia Identitas SSO open source atau yang tersedia secara komersial mentransmisikan RelayState tanpa masalah secara default. Agar keamanan dan keandalan optimal, sebaiknya Anda menggunakan salah satu solusi yang ada tersebut dan kami tidak memberikan dukungan untuk software SSO kustom milik Anda.
Konten Response SAML
"Layanan ini tidak dapat diakses karena permintaan login Anda berisi informasi [destination|audience|recipient] yang tidak valid. Login dan coba lagi."Error ini menunjukkan bahwa elemen tujuan, audiens, atau penerima di pernyataan SAML berisi informasi yang tidak valid atau kosong. Semua elemen harus disertakan dalam pernyataan SAML. Periksa tabel berikut untuk mengetahui deskripsi dan contoh setiap elemen.
Elemen | <Audience> |
---|---|
Deskripsi | URI yang mengidentifikasi audiens yang dimaksud yang memerlukan nilai URI ACS. Catatan: Nilai elemen harus diisi |
Format Nilai | https://www.google.com/a/<example.com>/acs |
Contoh |
<saml:Conditions NotBefore="2014-11-05T17:31:37Z" |
Elemen | Atribut Destination jenis <StatusResponseType> |
---|---|
Deskripsi | URI tujuan pernyataan SAML dikirim. Opsional, namun jika dinyatakan, atribut akan memerlukan nilai URI ACS. |
Format Nilai | https://www.google.com/a/<example.com>/acs |
Contoh |
<saml:Response |
Elemen | Atribut Recipient <SubjectConfirmationData> |
---|---|
Deskripsi |
|
Format Nilai | https://www.google.com/a/<example.com>/acs |
Contoh |
<saml:Subject> |
Untuk mengetahui detail semua elemen yang wajib diisi, tinjau artikel Persyaratan pernyataan SSO.
Error ini biasanya menunjukkan bahwa Respons SAML dari Penyedia Identitas Anda tidak memiliki nilai Recipient yang dapat dibaca (atau nilai Recipient salah). Nilai Recipient adalah komponen penting dari Respons SAML.
- Diagnosis masalah ini lebih lanjut dengan merekam header HTTP selama upaya login.
- Ekstrak Permintaan dan Respons SAML dari header HTTP.
- Pastikan nilai Recipient dalam Respons SAML ada dan cocok dengan nilai dalam Permintaan SAML.
Catatan: Error ini mungkin juga muncul dengan pesan "Layanan ini tidak dapat diakses karena permintaan login Anda berisi informasi penerima yang tidak valid. Login dan coba lagi."
Error ini menunjukkan masalah dengan sertifikat yang Anda gunakan untuk menandatangani alur autentikasi. Error ini biasanya berarti bahwa kunci pribadi yang digunakan untuk menandatangani Respons SAML tidak cocok dengan public key certificate yang disimpan oleh Google Workspace.
Error ini bisa juga terjadi jika Respons SAML Anda tidak berisi nama pengguna Akun Google yang valid. Google Workspace mengurai Respons SAML untuk elemen XML yang disebut NameID, dan elemen ini harus berisi nama pengguna Google Workspace atau alamat email Google Workspace lengkap.
- Pastikan Anda telah mengupload sertifikat yang valid ke Google Workspace, dan jika perlu mengganti sertifikat. Di konsol Google Admin, buka KeamananSiapkan Single Sign-On (SSO) dengan IdP pihak ketiga, lalu klik Ganti sertifikat.
- Jika Anda menggunakan alamat email lengkap dalam elemen NameID (harus jika Anda menggunakan SSO dengan lingkungan Aplikasi multidomain), pastikan bahwa atribut Format dari elemen NameID menyatakan bahwa alamat email lengkap akan digunakan, seperti pada contoh berikut: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
- Pastikan bahwa Anda mengisi elemen NameID dengan nama pengguna atau alamat email yang valid. Untuk memastikannya, ekstrak Respons SAML yang Anda kirimkan ke Google Workspace, dan periksa nilai elemen NameID.
- NameID peka huruf besar/kecil: pastikan bahwa Respons SAML mengisi NameID dengan nilai yang cocok dengan huruf besar/kecil dari nama pengguna atau alamat email Google Workspace.
- Jika Penyedia Identitas mengenkripsi Pernyataan SAML, nonaktifkan enkripsi.
- Pastikan Respons SAML tidak berisi karakter ASCII non-standar. Masalah ini paling sering terjadi pada atribut DisplayName, GivenName, dan Surname di AttributeStatement, misalnya:
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue> </Attribute> - <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
Untuk informasi selengkapnya tentang cara memformat elemen NameID, lihat persyaratan pernyataan SSO.
Demi alasan keamanan, alur login SSO harus selesai dalam jangka waktu tertentu, atau autentikasi akan gagal. Jika jam pada Penyedia Identitas Anda salah, kebanyakan atau semua upaya login akan tampak di luar jangka waktu yang ditentukan, dan autentikasinya akan gagal dengan pesan error di atas.
- Periksa jam pada server Penyedia Identitas Anda. Error ini hampir selalu disebabkan oleh jam Penyedia Identitas yang salah, yang menambahkan stempel waktu yang salah pada Respons SAML.
- Sinkronkan ulang jam server Penyedia Identitas dengan server waktu internet yang dapat diandalkan. Jika masalah ini tiba-tiba muncul dalam lingkungan produksi, ini biasanya disebabkan oleh sinkronisasi waktu terakhir yang gagal, sehingga menyebabkan waktu server menjadi tidak akurat. Mengulangi sinkronisasi waktu (mungkin dengan server waktu yang lebih dapat diandalkan) akan memperbaiki masalah ini dengan cepat.
- Masalah ini juga dapat terjadi jika Anda mengirim ulang SAML dari upaya login sebelumnya. Memeriksa Permintaan dan Respons SAML (diperoleh dari log header HTTP yang direkam selama upaya login) dapat membantu Anda melakukan debug masalah ini lebih lanjut.
Demi alasan keamanan, alur login SSO harus selesai dalam jangka waktu tertentu, atau autentikasi akan gagal. Jika jam pada Penyedia Identitas Anda salah, kebanyakan atau semua upaya login akan tampak di luar jangka waktu yang ditentukan, dan autentikasinya akan gagal dengan pesan error di atas.
- Periksa jam pada server Penyedia Identitas Anda. Error ini hampir selalu disebabkan oleh jam Penyedia Identitas yang salah, yang menambahkan stempel waktu yang salah pada Respons SAML.
- Sinkronkan ulang jam server Penyedia Identitas dengan server waktu internet yang dapat diandalkan. Jika masalah ini tiba-tiba muncul dalam lingkungan produksi, ini biasanya disebabkan oleh sinkronisasi waktu terakhir yang gagal, sehingga menyebabkan waktu server menjadi tidak akurat. Mengulangi sinkronisasi waktu (mungkin dengan server waktu yang lebih dapat diandalkan) akan memperbaiki masalah ini dengan cepat.