Messages d'erreur liés aux applications SAML

Si vous rencontrez un message d'erreur concernant une application SAML (Security Assertion Markup Language), les procédures de dépannage ci-dessous vous aideront à résoudre le problème.

Encoder ou décoder les requêtes et les réponses SAML

L'outil d'encodage et de décodage SAML vous permet de traiter les requêtes et les réponses SAML sous une forme lisible à partir du fichier HAR (HTTP Archive Format) et facilite ainsi le dépannage. Consultez la page https://toolbox.googleapps.com/apps/encode_decode/.

Erreurs de création d'application SAML

Lors de la création d'une application SAML dans la console d'administration, l'erreur 400 suivante peut s'afficher :

400 duplicate entity id (ID d'entité en double)

Cette erreur se produit si vous tentez de créer une application avec un ID d'entité existant.

Pour résoudre l'erreur "400 duplicate entity id" (ID d'entité en double) :

Utilisez l'application déjà configurée ou utilisez un autre ID d'entité.

Erreurs 500 liées à la création d'une application SAML

Lors de la création d'une application SAML dans la console d'administration, les erreurs 500 suivantes peuvent s'afficher :

  • Dans la section Informations sur le fournisseur d'identité Google, si vous cliquez sur le bouton Télécharger le certificat ou sur le bouton Télécharger les métadonnées et que le service backend des certificats est indisponible, une erreur 500 s'affiche en haut de l'écran.
  • Lors du chargement des schémas dans NameID Mapping ou Attribute Mapping, si le service de schéma arrive à expiration ou affiche des exceptions backend, une erreur 500 s'affiche en haut de l'écran.
  • Si le service Service Provider Config (Config fournisseur de services) est indisponible, un message d'erreur 500 s'affiche en haut de l'écran lorsque vous cliquez sur Terminer.

Pour résoudre les erreurs 500 liées à la création d'applications SAML :

Patientez quelques instants, puis relancez le flux. Si des erreurs se produisent toujours, contactez l'assistance Google Cloud.

Erreurs d'exécution SAML

Les scénarios d'erreur suivants peuvent se produire si vous tentez d'exécuter un flux d'authentification unique (SSO) SAML dans un flux initié par un fournisseur d'identité ou un fournisseur de services :

403 app_not_configured (application non configurée)

Cette erreur peut se produire dans les cas suivants :

  • Dans un flux initié par un fournisseur de service, l'application correspondant à l'ID d'entité mentionné dans la requête n'a pas été créée dans la console d'administration.

  • Dans un flux initié par un fournisseur de service, l'ID d'entité fourni dans la requête SAML ne correspond à aucun des ID d'entité des applications actuellement installées. Si l'ID de l'application (ID de fournisseur de service) mentionnée dans l'URL créée par l'IdP est falsifié, une erreur app_not_configured (application non configurée) s'affiche.

Pour résoudre l'erreur 403 "app_not_configured" (application non configurée) :

  1. Avant d'exécuter une requête, assurez-vous que l'application correspondant à l'ID d'entité qui y est mentionné est bien installée.
  2. Assurez-vous que l'ID d'entité fourni dans la requête SAML est correct et qu'il correspond à celui que vous avez spécifié lors de la création de l'application.
  3. Vérifiez que l'ID du fournisseur de services transmis dans l'URL de la requête est identique à celui affiché dans le message d'erreur "app_not_enabled" (application non activée).

403 app_not_configured_for_user (application non configurée pour l'utilisateur)

Pour résoudre l'erreur 403 "app_not_configured_for_user" (application non configurée pour l'utilisateur) :

Vérifiez que la valeur de la balise saml:Issuer indiquée dans la requête SAML correspond bien à la valeur de l'ID d'entité configuré dans la section Détails relatifs au fournisseur de services SAML de la console d'administration. Cette valeur est sensible à la casse.

403 app_not_enabled_for_user (application non activée pour l'utilisateur)

Pour résoudre l'erreur 403 "app_not_enabled_for_user" (application non activée pour l'utilisateur) :

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Applications puis Applications Web et mobiles.

  3. Dans la liste des applications, recherchez l'application SAML responsable de l'erreur.
  4. Cliquez sur l'application pour ouvrir la page de ses paramètres.
  5. Cliquez sur Accès des utilisateurs.
  6. ACTIVEZ l'application pour tous les utilisateurs ou pour l'organisation de l'utilisateur voulu.

400 saml_invalid_user_id_mapping (erreur SAML correspondance d'ID utilisateur non valide)

Si un fournisseur de services envoie un paramètre NAMEID dans la requête SAML, ce paramètre doit être identique à celui configuré au niveau du fournisseur d'identité. Dans le cas contraire, la requête SAML échoue, et cette erreur s'affiche.

Pour résoudre l'erreur 400 "saml_invalid_user_id_mapping" (erreur SAML correspondance d'ID utilisateur non valide) :

  1. Accédez à la section Informations générales et vérifiez le paramètre NAMEID.
  2. Vérifiez que le paramètre NAMEID transmis dans la requête SAML est identique à celui configuré au niveau du fournisseur d'identité.

400 saml_invalid_sp_id (identifiant du fournisseur de services SAML non valide)

Cette erreur se produit lorsque l'ID du fournisseur de services indiqué dans l'URL du flux du fournisseur d'identité est incorrect, en raison d'une mauvaise configuration ou d'une URL altérée.

Pour résoudre l'erreur "400 saml_invalid_sp_id" (identifiant du fournisseur de services SAML non valide) :

  1. Accédez à la section Informations générales et vérifiez le champ app-id.

  2. Vérifiez que l'ID du fournisseur de services transmis dans l'URL de la requête est identique à celui du champ app-id.

La réponse SAML renvoie l'état "DENIED" (REFUSÉ) dans les cas ci-dessous. L'un des trois messages d'erreur associés peut s'afficher.

"SP-initiated Flow Invalid request" (requête du flux initié par le fournisseur de services non valide) ou "ACS URL in request $parameter doesn't match configured ACS URL $parameter" (L'URL ACS figurant dans l'attribut $parameter de la requête ne correspond pas à l'attribut $parameter configuré de l'URL ACS).


Dans ce cas, l'URL ACS spécifiée dans la requête SAML et l'URL ACS configurée dans la console d'administration pour l'application concernée ne correspondent pas.

Pour résoudre l'erreur "ACS URL in request $parameter doesn't match configured ACS URL $parameter" (L'URL ACS figurant dans l'attribut $parameter de la requête ne correspond pas à l'attribut $parameter configuré de l'URL ACS) :

  1. Accédez à la section Détails relatifs au fournisseur de services.

  2. Vérifiez que l'URL ACS est identique à celle de la requête SAML.

Invalid idpid provided in the url (L'ID du fournisseur d'identité fourni dans l'URL n'est pas valide)

Cette erreur signifie que l'ID du fournisseur d'identité (ID client chiffré) fourni dans l'URL a été altéré et est incorrect.

Pour résoudre l'erreur "invalid IdP ID in URL" (l'ID du fournisseur d'identité fourni dans l'URL n'est pas valide) :

  1. Accédez à SécuritépuisConfigurer l'authentification unique pour les applications SAML.

  2. Récupérez la chaîne idpid. Elle se trouve à la fin de l'URL figurant dans le champ ID d'entité.

  3. Vérifiez que l'ID du fournisseur d'identité inclus dans l'URL de la requête est identique à celui de l'URL du champ ID d'entité.

IdP-initiated Flow Invalid idpid provided in the request (L'ID du fournisseur d'identité du flux initié par le fournisseur d'identité fourni dans la requête est non valide)

L'utilisateur à l'initiative de la requête a altéré l'URL d'authentification unique initiée par le fournisseur d'identité et a modifié l'ID de ce dernier pour le remplacer par un autre ID client.

Pour résoudre l'erreur "invalid IdP ID in request" (ID IdP invalide dans la requête) :

  1. Accédez à SécuritépuisConfigurer l'authentification unique pour les applications SAML.

  2. Récupérez la chaîne idpid. Elle se trouve à la fin de l'URL figurant dans le champ ID d'entité.

  3. Vérifiez que l'ID du fournisseur d'identité inclus dans l'URL de la requête est identique à celui de l'URL du champ ID d'entité.

Erreurs 500 lors du test d'un flux SSO SAML

Lorsque vos utilisateurs effectuent un test sur un flux SAML d'authentification unique dans des flux initiés par un fournisseur d'identité ou un fournisseur de services, ils peuvent rencontrer une des erreurs 500 du fait de l'indisponibilité des processus backend.

Pour résoudre les erreurs 500 lors du test d'un flux SSO SAML :

Attendez, puis relancez le flux. Si cela ne fonctionne toujours pas, contactez l'assistance Google Cloud.

Messages d'erreur d'accès liés aux applications SAML

Erreur 1 000 liée à l'accès à la page de l'application SAML

Pour résoudre l'erreur d'accès à la page de l'application SAML :

Contactez l'assistance Google Cloud.

Erreur 1 000 liée à l'accès aux paramètres de l'application SAML

Pour résoudre l'erreur d'accès aux paramètres de l'application SAML :

Contactez l'assistance Google Cloud.

Message d'erreur lié à la suppression du schéma utilisateur de l'application SAML

400

Cette erreur se produit si vous essayez de supprimer un schéma personnalisé qui est associé comme attribut à une application SAML déjà supprimée. Cette erreur peut intervenir si vous avez créé le schéma avant la résolution du problème.

Pour résoudre l'erreur de suppression du schéma utilisateur des applications SAML :

Contactez l'assistance Google Cloud.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
6941824017985000937
true
Rechercher dans le centre d'aide
true
true
true
false
false