Messaggi di errore delle applicazioni SAML

Se visualizzi messaggi di errore relativi a un'applicazione SAML (Security Assertion Markup Language), prova a eseguire i seguenti passaggi per la risoluzione dei problemi.

Codificare o decodificare le richieste e le risposte SAML

Per agevolare la risoluzione dei problemi, utilizza lo strumento di codifica/decodifica SAML per elaborare una richiesta e una risposta SAML e una risposta in formato leggibile dal file HAR (HTTP Archive Format). Vedi https://toolbox.googleapps.com/apps/encode_decode/.

Errori durante la creazione di applicazioni SAML

Durante la creazione di un'applicazione SAML nella Console di amministrazione, potresti vedere il seguente errore 400:

400 duplicate entity id (ID entità duplicato)

Questo messaggio di errore viene visualizzato quando cerchi di creare un'applicazione con un ID entità già esistente.

Risoluzione dell'errore 400 relativo all'ID entità duplicato:

Utilizza l'applicazione già configurata o un ID entità diverso.

Errori 500 per la creazione di applicazioni SAML

Durante la creazione di un'applicazione SAML nella Console di amministrazione, potresti vedere i seguenti errori 500:

  • Nella sezione Informazioni sull'IDP Google, se fai clic sul pulsante Download Certificate (Scarica certificato) o Download IdP Metadata (Scarica metadati IdP) quando il servizio di backend per i certificati non è disponibile, verrà visualizzato un errore 500 nella parte superiore dello schermo.
  • Durante il caricamento degli schemi in NameID Mapping (Mappatura NameID) o Attribute Mapping (Mappatura attributo), in caso di timeout del servizio di schema o di visualizzazione di eccezioni del backend, verrà visualizzato un errore 500 nella parte superiore dello schermo.
  • Se il servizio Service Provider Config non è disponibile, quando fai clic su Finish (Fine) viene visualizzato un errore 500 nella parte superiore dello schermo.

Risoluzione di eventuali errori 500 relativi alla creazione di applicazioni SAML:

Attendi prima di riprovare. Se si verificano ancora errori, contatta l'assistenza Google Cloud.

Errori di runtime di SAML

I seguenti scenari di errore possono verificarsi quando provi un flusso SSO (Single Sign-On) SAML nei flussi inizializzati dal provider di identità (IdP, Identity Provider) o dal provider di servizi (SP, Service Provider):

403 app_not_configured

Questo errore può verificarsi nei seguenti scenari:

  • In un flusso inizializzato dal provider di servizi, l'applicazione corrispondente all'ID entità citato nella richiesta non è stata creata nella Console di amministrazione.

  • In un flusso inizializzato dal provider di servizi, l'ID fornito nella richiesta SAML (SAMLRequest) non corrisponde a nessuno degli ID entità delle applicazioni attualmente installate. Se qualcuno manomette l'ID (SP ID) applicazione citato nell'URL inizializzato dall'IdP, verrà visualizzato un errore app_not_configured (app non configurata).

Risoluzione dell'errore 403 "app_not_configured":

  1. Prima di inizializzare la richiesta, assicurati che l'applicazione corrispondente all'ID entità citato nella richiesta sia stata installata.
  2. Accertati che l'ID entità specificato in SAMLRequest sia corretto e che corrisponda a quello che hai specificato durante la creazione dell'applicazione.
  3. Accertati che l'ID SP passato nell'URL della richiesta sia uguale all'app-id app_not_enabled.

403 app_not_configured_for_user

Risoluzione dell'errore 403 "pp_not_configured_for_user":

Assicurati che il valore del tag saml:Issuer in SAMLRequest corrisponda al valore dell'ID entità configurato nella sezione Dettagli del fornitore di servizi SAML nella Console di amministrazione. Questo valore distingue tra maiuscole e minuscole.

400 The application with the corresponding entity id is not enabled for the user (L'applicazione con l'ID entità corrispondente non è attiva per l'utente)

Risoluzione dell'errore 400 application-corresponding entityID:

  1. Vai al menu extra.
  2. Attiva il servizio per tutti o per l'organizzazione dell'utente.

400 saml_invalid_user_id_mapping

Se un SP invia un parametro NAMEID in SAMLRequest, il parametro deve essere identico a quello configurato sul lato IdP. In caso contrario, SAMLRequest avrà esito negativo e restituirà questo errore.

Risoluzione dell'errore 400 "saml_invalid_user_id_mapping":

  1. Vai a Dettagli di base e controlla il parametro NAMEID.
  2. Accertati che il parametro NAMEID che viene passato in SAMLRequest sia lo stesso che è stato configurato sul lato IdP.

400 saml_invalid_sp_id

Questo errore si verifica quando l'ID del fornitore di servizi nell'URL del flusso IdP non è corretto, a causa di una configurazione errata o di manomissioni dell'URL.

Risoluzione dell'errore 400 "saml_invalid_sp_id":

  1. Vai a Dettagli di base e controlla il campo app-id.

  2. Accertati che l'ID SP che viene passato nell'URL della richiesta sia uguale all'app-id.

La risposta SAML restituisce lo stato DENIED per i seguenti scenari. Potresti visualizzare uno dei seguenti tre messaggi di errore correlati.

SP-initiated Flow Invalid request, ACS URL in request $parameter doesn't match configured ACS URL $parameter (Richiesta non valida per il flusso inizializzato dall'SP; l'URL ACS nel $parameter della richiesta non corrisponde al $parameter URL ACS configurato)


In questo caso, l'URL ACS specificato in SAMLRequest e l'URL ACS configurato nella Console di amministrazione per la relativa applicazione non corrispondono.

Risoluzione dell'errore "ACS URL in request $parameter doesn't match configured ACS URL $parameter":

  1. Vai a Dettagli del fornitore di servizi.

  2. Verifica che l'URL ACS sia lo stesso di SAMLRequest.

Invalid idpid provided in the url (ID IdP fornito nell'URL non valido)

Questo messaggio indica che l'ID IdP (ID cliente offuscato) fornito nell'URL è stato manomesso ed è errato. 

Risoluzione dell'errore "invalid IdP ID in URL":

  1. Vai alla pagina Informazioni sull'IDP Google.

  2. Recupera l'ID IdP dalla parte finale dell'URL dell'ID entità.

  3. Accertati che l'ID IdP nell'URL della richiesta sia lo stesso che si trova nell'URL dell'ID entità.

IdP-initiated Flow Invalid idpid provided in the request (Flusso inizializzato dall'IDP, ID IdP non valido fornito nella richiesta)

L'utente chiamante ha manomesso l'URL SSO inizializzato dall'IdP e ha cambiato l'ID IdP in un altro ID cliente (offuscato).

Risoluzione dell'errore di ID IdP non valido nella richiesta:

  1. Vai alla pagina Informazioni sull'IDP Google.

  2. Recupera l'ID IdP dalla parte finale dell'URL dell'ID entità.

  3. Accertati che l'ID IdP nell'URL della Richiesta sia uguale a quello contenuto nell'URL dell'ID entità.

Errori 500 durante il test di un flusso SSO SAML

Quando i tuoi utenti testano un flusso SSO SAML in flussi inizializzati dall'IdP o dall'SP, potrebbero riscontrare uno o più errori 500 relativi alla mancata disponibilità dei processi backend.

Risoluzione di eventuali errori 500 relativi al testing di un flusso SSO SAML:

Attendi, quindi prova di nuovo il flusso. Se il problema persiste, contatta l'assistenza di Google Cloud.

Messaggi di errore relativi all'accesso alle applicazioni SAML

Errori 1000 relativi all'accesso alla pagina dell'applicazione SAML

Risoluzione dell'errore di accesso alla pagina dell'applicazione SAML:

Contatta l'assistenza Google Cloud.

Errori 1000 relativi all'accesso alle impostazioni dell'applicazione SAML

Risoluzione dell'errore di accesso alle impostazioni dell'applicazione SAML:

Contatta l'assistenza Google Cloud.

Messaggio di errore relativo all'eliminazione dello schema utente dell'applicazione SAML

400

Questo errore si verifica se tenti di eliminare uno schema personalizzato associato come mappatura di attributi per un'applicazione SAML che è già stata eliminata. L'errore può verificarsi se lo schema è stato creato prima della risoluzione del problema. 

Risoluzione dell'errore di eliminazione dello schema utente delle applicazioni SAML:

Contatta l'assistenza Google Cloud.

È stato utile?
Come possiamo migliorare l'articolo?