如果您收到任何安全断言标记语言 (SAML) 应用错误消息,以下问题排查步骤可帮助您解决问题。
对 SAML 请求和响应进行编码或解码
为帮助排查问题,请使用 SAML 编码/解码工具从 HTTP 归档格式 (HAR) 文件中以用户可理解的形式处理 SAML 请求和响应。请参阅 https://toolbox.googleapps.com/apps/encode_decode/。
SAML 应用创建错误
在管理控制台中创建 SAML 应用时,您可能会看到以下 400 错误:
400 duplicate entity id(400 重复的实体 ID)
如果您尝试使用已经存在的实体 ID 创建应用,则可能会看到此错误消息。
要修正 400 duplicate entity id 错误,请按以下步骤操作:
使用已配置的应用或使用其他实体 ID。
创建 SAML 应用时出现的 500 错误
在管理控制台中创建 SAML 应用时,您可能会看到以下 500 错误:
- 在 Google 身份提供商详细信息部分,如果您在无法使用证书后端服务的情况下点击下载证书或下载元数据按钮,则屏幕顶部会显示 500 错误。
- 加载名称 ID 映射或属性映射中的架构时,如果架构服务超时或显示后端异常,则屏幕顶部会显示 500 错误。
- 如果服务提供商配置服务无法使用,则您在点击完成时,屏幕顶部会显示 500 错误。
要解决创建 SAML 应用时出现的 500 错误,请按以下步骤操作:
稍等片刻,然后再次尝试按流程操作。如果错误仍然存在,请与 Google Cloud 支持团队联系。
SAML 运行时错误
当您在身份提供商 (IdP) 或服务提供商 (SP) 发起的流程中尝试执行 SAML 单点登录 (SSO) 流程时,可能会遇到以下错误情况:
403 app_not_configured(403 应用尚未配置)
此错误可能会在以下情况下发生:
-
在 SP 发起的流程中,需要与请求中提到的实体 ID 对应的应用,但您尚未在管理控制台中创建该应用。
- 在 SP 发起的流程中,SAMLRequest 中提供的实体 ID 与当前安装的应用的任何实体 ID 均不一致。如果有人篡改了 IdP 发起的网址中提到的应用 ID (SP ID),系统就会显示
app_not_configured
错误。
要修正 403 app_not_configured 错误,请按以下步骤操作:
- 在发起请求之前,确保您已安装与请求中提到的实体 ID 对应的应用。
- 确保 SAMLRequest 中提供的实体 ID 正确,且与创建应用时指定的实体 ID 一致。
- 确保请求网址中传送的 SP ID 与 app_not_enabled(未启用应用)中的应用 ID 相同。
403 app_not_configured_for_user(403 尚未为用户配置应用)
要修正 403 app_not_configured_for_user 错误,请按以下步骤操作:
确保 SAMLRequest 中的 saml:Issuer 标签与管理控制台中 SAML 服务提供商详细信息部分的实体 ID 值一致。该值区分大小写。
403 app_not_enabled_for_user(403 尚未为用户启用应用)
要修正 403 app_not_enabled_for_user 错误,请按以下步骤操作:
-
-
在管理控制台中,依次点击“菜单”图标 应用 Web 应用和移动应用。
- 在应用列表中,找到产生错误的 SAML 应用。
- 点击应用以打开其“设置”页面。
- 点击用户访问权限。
- 为所有人或用户的单位启用此应用。
400 saml_invalid_user_id_mapping(400 SAML 用户 ID 映射无效)
如果服务提供商在 SAMLRequest 中发送了 NAMEID 参数,则此参数必须与 IdP 方配置的参数相同。否则 SAMLRequest 会因此错误而失败。
要修正 400 saml_invalid_user_id_mapping 错误,请按以下步骤操作:
- 转到基本详情,然后检查 NAMEID 参数。
- 确保在 SAMLRequest 中传递的 NAMEID 参数与 IdP 方配置的参数相同。
400 saml_invalid_sp_id(400 SAML SP ID 无效)
当 IdP 流程中网址的服务提供商 ID 不正确时,就会出现此错误,这是因为网址可能配置错误或者遭到了篡改。
要修正 400 saml_invalid_sp_id 错误,请按以下步骤操作:
-
转到基本详情,然后检查应用 ID 字段。
-
请确保请求网址中传递的 SP ID 与应用 ID 相同。
如果出现以下情况,SAML 回复会发回 DENIED(遭拒)状态。您可能会看到以下三种相关错误消息之一。
SP-initiated Flow Invalid request, ACS URL in request $parameter doesn't match configured ACS URL $parameter(SP 发起的流程中请求无效,请求“$parameter”中的 ACS 网址与配置的 ACS 网址“$parameter”不符)。
在这种情况下,SAMLRequest 中指定的 ACS 网址和在管理控制台中为对应应用配置的 ACS 网址不符。
要修正 ACS URL in request $parameter doesn't match configured ACS URL $parameter 错误,请按以下步骤操作:
-
转到服务提供商详细信息。
-
检查 ACS 网址是否与 SAMLRequest 中的相同。
Invalid idpid provided in the url(网址中提供的 IdP ID 无效)
网址中提供的 IdP ID(经过混淆处理的客户 ID)已被篡改且不正确。
要修正网址中的 IdP ID 无效错误,请按以下步骤操作:
-
转到安全性 为 SAML 应用设置单点登录 (SSO)。
-
从实体 ID 网址末尾获取 idpid 字符串。
- 确保请求网址中的 IdP ID 与实体 ID 网址中的 IdP ID 相同。
IdP-initiated Flow Invalid idpid provided in the request (在 IdP 发起的流程中,请求中提供的 IdP 无效)。
呼叫方用户篡改了 IdP 发起的 SSO 网址,并将 IdP ID 更改为其他客户 ID(经混淆处理)。
要修正请求中的 IdP ID 无效错误,请按以下步骤操作:
-
转到安全性 为 SAML 应用设置单点登录 (SSO)。
-
从实体 ID 网址末尾获取 idpid 字符串。
- 确保请求网址中的 IdP ID 与实体 ID 网址中的 IdP ID 相同。
测试 SAML 单点登录流程时出现 500 错误
当用户在 IdP 或 SP 发起的流程中测试 SAML SSO 流程时,他们可能会由于后端处理程序无法使用而遇到其中一种 500 错误。
要解决测试 SAML 单点登录流程时出现的 500 错误,请按以下步骤操作:
稍等片刻,然后再次尝试按照流程操作。如果问题仍然存在,请联系 Google Cloud 支持团队。
SAML 应用访问错误消息
1000 SAML 应用页面访问错误
要修正 SAML 应用页面访问错误,请按以下步骤操作:
1000 SAML 应用设置页面访问错误
要修正 SAML 应用设置页面访问错误,请按以下步骤操作:
SAML 应用用户架构删除错误消息
400
如果您尝试删除的自定义架构与已删除的 SAML 应用之间存在属性映射关联,就会出现此错误。如果您在此问题解决前创建了架构,则可能出现此问题。
要修正 SAML 应用用户架构删除错误,请按以下步骤操作: