Se visualizzi messaggi di errore relativi a un'applicazione SAML (Security Assertion Markup Language), prova a eseguire i seguenti passaggi per la risoluzione dei problemi.
Codificare o decodificare le richieste e le risposte SAML
Per agevolare la risoluzione dei problemi, utilizza lo strumento di codifica/decodifica SAML per elaborare una richiesta e una risposta SAML in formato leggibile dal file HAR (HTTP Archive Format). Vedi https://toolbox.googleapps.com/apps/encode_decode/.
Errori durante la creazione di applicazioni SAML
Durante la creazione di un'applicazione SAML nella Console di amministrazione, potresti vedere il seguente errore 400:
400 duplicate entity id (ID entità duplicato)
Questo messaggio di errore viene visualizzato quando cerchi di creare un'applicazione con un ID entità già esistente.
Risoluzione dell'errore 400 relativo all'ID entità duplicato:
Utilizza l'applicazione già configurata o un ID entità diverso.
Errori 500 per la creazione di applicazioni SAML
Durante la creazione di un'applicazione SAML nella Console di amministrazione, potresti vedere i seguenti errori 500:
- Nella sezione Dettagli del provider di identità Google, se fai clic sul pulsante Download Certificate (Scarica certificato) o Download Metadata (Scarica metadati) quando il servizio di backend per i certificati non è disponibile, verrà visualizzato un errore 500 nella parte superiore dello schermo.
- Durante il caricamento degli schemi in NameID Mapping (Mappatura NameID) o Attribute Mapping (Mappatura attributo), in caso di timeout del servizio di schema o di visualizzazione di eccezioni del backend, verrà visualizzato un errore 500 nella parte superiore dello schermo.
- Se il servizio Service Provider Config non è disponibile, quando fai clic su Finish (Fine) viene visualizzato un errore 500 nella parte superiore dello schermo.
Risoluzione di eventuali errori 500 relativi alla creazione di applicazioni SAML:
Attendi prima di riprovare. Se si verificano ancora errori, contatta l'assistenza Google Cloud.
Errori di runtime di SAML
I seguenti scenari di errore possono verificarsi quando provi un flusso SSO (Single Sign-On) SAML nei flussi inizializzati dal provider di identità (IdP, Identity Provider) o dal provider di servizi (SP, Service Provider):
403 app_not_configured
Questo errore può verificarsi nei seguenti scenari:
-
In un flusso inizializzato dal provider di servizi, l'applicazione corrispondente all'ID entità citato nella richiesta non è stata creata nella Console di amministrazione.
- In un flusso inizializzato dal provider di servizi, l'ID fornito nella richiesta SAML (SAMLRequest) non corrisponde a nessuno degli ID entità delle applicazioni attualmente installate. Se qualcuno manomette l'ID applicazione (SP ID) citato nell'URL inizializzato dall'IdP, verrà visualizzato un errore
app_not_configured(app non configurata).
Risoluzione dell'errore 403 "app_not_configured":
- Prima di inizializzare la richiesta, assicurati che l'applicazione corrispondente all'ID entità citato nella richiesta sia stata installata.
- Accertati che l'ID entità specificato in SAMLRequest sia corretto e che corrisponda a quello che hai specificato durante la creazione dell'applicazione.
- Accertati che l'ID SP indicato nell'URL della richiesta sia uguale all'app-id app_not_enabled.
403 app_not_configured_for_user
Risoluzione dell'errore 403 "app_not_configured_for_user":
Assicurati che il valore del tag saml:Issuer in SAMLRequest corrisponda al valore dell'ID entità configurato nella sezione Dettagli del fornitore di servizi SAML nella Console di amministrazione. Questo valore distingue tra maiuscole e minuscole.
403 app_not_enabled_for_user
Risoluzione dell'errore 403 "app_not_enabled_for_user":
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu
Applicazioni
App web e mobile.
- Nell'elenco di app, trova l'app SAML che sta generando l'errore.
- Fai clic sull'app per aprire la pagina Impostazioni corrispondente.
- Fai clic su Accesso utenti.
- Attiva l'app per tutti o per l'organizzazione dell'utente.
400 saml_invalid_user_id_mapping
Se un SP invia un parametro NAMEID in SAMLRequest, il parametro deve essere identico a quello configurato sul lato IdP. In caso contrario, SAMLRequest avrà esito negativo e restituirà questo errore.
Risoluzione dell'errore 400 "saml_invalid_user_id_mapping":
- Vai a Dettagli di base e controlla il parametro NAMEID.
- Accertati che il parametro NAMEID indicato in SAMLRequest sia lo stesso che è stato configurato sul lato IdP.
400 saml_invalid_sp_id
Questo errore si verifica quando l'ID del fornitore di servizi nell'URL del flusso IdP non è corretto, a causa di una configurazione errata o di manomissioni dell'URL.
Risoluzione dell'errore 400 "saml_invalid_sp_id":
-
Vai a Dettagli di base e controlla il campo app-id.
-
Accertati che l'ID SP indicato nell'URL della richiesta sia uguale all'app-id.
La risposta SAML restituisce lo stato DENIED per i seguenti scenari. Potresti visualizzare uno dei seguenti tre messaggi di errore correlati.
SP-initiated Flow Invalid request, ACS URL in request $parameter doesn't match configured ACS URL $parameter (Richiesta non valida per il flusso inizializzato dall'SP; l'URL ACS nel $parameter della richiesta non corrisponde al $parameter URL ACS configurato).
In questo caso, l'URL ACS specificato in SAMLRequest e l'URL ACS configurato nella Console di amministrazione per la relativa applicazione non corrispondono.
Risoluzione dell'errore "ACS URL in request $parameter doesn't match configured ACS URL $parameter":
-
Vai a Dettagli del fornitore di servizi.
-
Verifica che l'URL ACS sia lo stesso di SAMLRequest.
Invalid idpid provided in the url (ID IdP fornito nell'URL non valido)
L'ID IdP (ID cliente offuscato) fornito nell'URL è stato manomesso ed è errato.
Risoluzione dell'errore "invalid IdP ID in URL":
-
Vai a Sicurezza
-
Recupera la stringa idpid dalla parte finale dell'URL dell'ID entità.
- Accertati che l'ID IdP nell'URL della richiesta sia lo stesso che si trova nell'URL dell'ID entità.
IdP-initiated Flow Invalid idpid provided in the request (Flusso inizializzato dall'IDP, ID IdP non valido fornito nella richiesta)
L'utente chiamante ha manomesso l'URL SSO inizializzato dall'IdP e ha cambiato l'ID IdP in un altro ID cliente (offuscato).
Risoluzione dell'errore "invalid IdP ID in request":
-
Vai a Sicurezza
-
Recupera la stringa idpid dalla parte finale dell'URL dell'ID entità.
- Accertati che l'ID IdP nell'URL della Richiesta sia uguale a quello contenuto nell'URL dell'ID entità.
Errori 500 durante il test di un flusso SSO SAML
Quando i tuoi utenti testano un flusso SSO SAML in flussi inizializzati dall'IdP o dall'SP, potrebbero riscontrare uno o più errori 500 relativi alla mancata disponibilità dei processi backend.
Risoluzione di eventuali errori 500 relativi al testing di un flusso SSO SAML:
Attendi, quindi prova di nuovo il flusso. Se il problema persiste, contatta l'assistenza Google Cloud.
Messaggi di errore relativi all'accesso alle applicazioni SAML
Errori 1000 relativi all'accesso alla pagina dell'applicazione SAML
Risoluzione dell'errore di accesso alla pagina dell'applicazione SAML:
Contatta l'assistenza Google Cloud.
Errori 1000 relativi all'accesso alle impostazioni dell'applicazione SAML
Risoluzione dell'errore di accesso alle impostazioni dell'applicazione SAML:
Contatta l'assistenza Google Cloud.
Messaggio di errore relativo all'eliminazione dello schema utente dell'applicazione SAML
400
Questo errore si verifica se tenti di eliminare uno schema personalizzato associato come mappatura di attributi per un'applicazione SAML che è già stata eliminata. L'errore può verificarsi se lo schema è stato creato prima della risoluzione del problema.
Risoluzione dell'errore di eliminazione dello schema utente delle applicazioni SAML:
Contatta l'assistenza Google Cloud.