Komunikaty o błędach aplikacji SAML

Jeśli wystąpi jakikolwiek komunikat o błędzie aplikacji SAML (Security Assertion Markup Language), możesz skorzystać z opisanych poniżej czynności, aby rozwiązać problem.

Kodowanie oraz dekodowanie żądań i odpowiedzi SAML

Aby łatwiej rozwiązać problem, użyj narzędzia do kodowania/dekodowania SAML, by przetworzyć żądania i odpowiedzi SAML zawarte w pliku HAR (HTTP Archive Format) do postaci zrozumiałej dla człowieka. Zobacz https://toolbox.googleapps.com/apps/encode_decode/.

Błędy tworzenia aplikacji SAML

Podczas tworzenia aplikacji SAML w konsoli administracyjnej możesz zobaczyć taki błąd 400:

400 duplicate entity id (zduplikowany identyfikator jednostki)

Pojawia się on, gdy próbujesz utworzyć aplikację o identyfikatorze jednostki, który już istnieje.

Aby naprawić błąd 400 dotyczący zduplikowanego identyfikatora jednostki:

Użyj aplikacji, która jest już skonfigurowana, lub użyj innego identyfikatora jednostki.

Błędy 500 podczas tworzenia aplikacji SAML

Podczas tworzenia aplikacji SAML w konsoli administracyjnej możesz zobaczyć następujące błędy 500:

  • Jeśli w sekcji Informacje o dostawcy tożsamości Google klikniesz przycisk Pobierz certyfikat lub Pobierz metadane, gdy usługa backendu obsługi certyfikatów będzie niedostępna, u góry ekranu pojawi się błąd 500.
  • Jeśli podczas ładowania schematów w procesie mapowania elementów NameID lub mapowania atrybutów zostanie przekroczony limit czasu usługi schematów lub zostanie wyświetlony wyjątek backendu, u góry ekranu pojawi się błąd 500.
  • Jeśli usługa konfiguracji dostawcy usług jest niedostępna, po kliknięciu Zakończ u góry ekranu pojawi się błąd 500.

Aby naprawić błędy 500 występujące podczas tworzenia aplikacji SAML:

Poczekaj chwilę i spróbuj ponownie wykonać daną czynność. Jeśli nadal występują błędy, skontaktuj się z zespołem pomocy Google Cloud.

Błędy czasu działania SAML

Poniższe błędy mogą wystąpić w przypadku próby logowania jednokrotnego SAML w procesach zainicjowanych przez dostawcę tożsamości lub dostawcę usług:

403 app_not_configured (aplikacja nie jest skonfigurowana)

Ten błąd może wystąpić w następujących przypadkach:

  • Jeśli w procesie zainicjowanym przez dostawcę usług aplikacja odpowiadająca identyfikatorowi jednostki wymienionemu w żądaniu nie została utworzona w konsoli administracyjnej.

  • Jeśli w procesie zainicjowanym przez dostawcę usług identyfikator jednostki podany w żądaniu SAMLRequest nie pasuje do żadnego identyfikatora jednostki aktualnie zainstalowanych aplikacji. Błąd app_not_configured występuje, gdy ktoś zmodyfikuje identyfikator aplikacji (identyfikator dostawcy usługi) wymieniony w adresie URL zainicjowanym przez dostawcę tożsamości.

Aby naprawić błąd 403 app_not_configured:

  1. Przed zainicjowaniem żądania zainstaluj aplikację odpowiadającą identyfikatorowi jednostki wymienionemu w żądaniu.
  2. Upewnij się, że identyfikator jednostki podany w żądaniu SAMLRequest jest prawidłowy i odpowiada identyfikatorowi określonemu podczas tworzenia aplikacji.
  3. Upewnij się, że identyfikator dostawcy usług przekazywany w adresie URL żądania jest taki sam jak identyfikator aplikacji w komunikacie o błędzie app_not_enabled.

403 app_not_configured_for_user (aplikacja nieskonfigurowana dla użytkownika)

Aby naprawić błąd 403 app_not_configured_for_user:

Upewnij się, że wartość tagu saml:Issuer w żądaniu SAMLRequest jest zgodna z wartością identyfikatora jednostki skonfigurowaną w sekcji Informacje o dostawcy usługi SAML w konsoli administracyjnej. Wielkość liter w tej wartości ma znaczenie.

403 app_not_enabled_for_user (aplikacja wyłączona dla użytkownika)

Aby naprawić błąd 403 app_not_enabled_for_user:

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej otwórz Menu a potem Aplikacjea potemAplikacje internetowe i mobilne.

  3. Na liście aplikacji znajdź aplikację SAML generującą błąd.
  4. Kliknij aplikację SAML, aby otworzyć jej stronę ustawień.
  5. Kliknij Dostęp użytkownika.
  6. WŁĄCZ aplikację dla wszystkich lub dla organizacji użytkownika.

400 saml_invalid_user_id_mapping (nieprawidłowe mapowanie identyfikatora użytkownika SAML)

Jeśli dostawca usług wysyła parametr NAMEID w żądaniu SAMLRequest, ten parametr musi być taki sam jak parametr skonfigurowany po stronie dostawcy tożsamości. W przeciwnym razie żądanie SAMLRequest nie powiedzie się i zostanie zwrócony ten błąd.

Aby naprawić błąd 400 saml_invalid_user_id_mapping:

  1. Otwórz Informacje podstawowe i sprawdź parametr NAMEID.
  2. Upewnij się, że parametr NAMEID przekazywany w żądaniu SAMLRequest jest taki sam jak parametr skonfigurowany po stronie dostawcy tożsamości.

400 saml_invalid_sp_id (nieprawidłowy identyfikator dostawcy usług SAML)

Ten błąd występuje, gdy identyfikator dostawcy usług w adresie URL przepływu inicjowanego przez dostawcę tożsamości jest nieprawidłowy z powodu błędu konfiguracji lub zmodyfikowania adresu URL.

Aby naprawić błąd 400 saml_invalid_sp_id:

  1. Otwórz Informacje podstawowe i sprawdź pole identyfikatora aplikacji.

  2. Upewnij się, że identyfikator dostawcy usług przekazywany w adresie URL żądania jest taki sam jak identyfikator aplikacji.

W następujących przypadkach w odpowiedzi SAML jest odsyłany stan DENIED (ODRZUCONO). Możesz zobaczyć jeden z trzech następujących komunikatów o błędach.

SP-initiated Flow Invalid request (Nieprawidłowe żądanie przepływu inicjowanego przez dostawcę usługi), ACS URL in request $parameter doesn't match configured ACS URL $parameter (Parametr $parameter adresu URL usługi ACS w żądaniu nie odpowiada skonfigurowanemu parametrowi $parameter adresu URL usługi ACS).


W tym przypadku adres URL usługi ACS podany w żądaniu SAMLRequest jest inny niż adres URL usługi ACS skonfigurowany w konsoli administracyjnej dla danej aplikacji.

Aby naprawić błąd Parametr $parameter adresu URL usługi ACS w żądaniu nie odpowiada skonfigurowanemu parametrowi $parameter adresu URL usługi ACS:

  1. Otwórz Informacje o dostawcy usługi.

  2. Upewnij się, że adres URL usługi ACS jest taki sam jak adres w żądaniu SAMLRequest.

Invalid idpid provided in the url (W adresie URL podano nieprawidłowy identyfikator dostawcy tożsamości)

Identyfikator dostawcy tożsamości (zniekształcony identyfikator klienta) podany w adresie URL został zmieniony i jest nieprawidłowy.

Aby naprawić błąd nieprawidłowego identyfikatora dostawcy tożsamości w adresie URL:

  1. Otwórz Bezpieczeństwo a potem Konfigurowanie logowania jednokrotnego (SSO) w aplikacjach SAML.

  2. Pobierz identyfikator dostawcy tożsamości z końca adresu URL identyfikatora jednostki.

  3. Upewnij się, że identyfikator dostawcy tożsamości w adresie URL żądania jest taki sam jak identyfikator w adresie URL identyfikatora jednostki.

IdP-initiated Flow Invalid idpid provided in the request (W żądaniu podano nieprawidłowy identyfikator dostawcy tożsamości przepływu inicjowanego przez tego dostawcę)

Użytkownik wywołujący zmodyfikował URL logowania jednokrotnego inicjowanego przez dostawcę tożsamości i zmienił identyfikator tego dostawcy na inny identyfikator klienta (zniekształcony).

Aby naprawić błąd nieprawidłowego identyfikatora dostawcy tożsamości w żądaniu:

  1. Otwórz Bezpieczeństwo a potem Konfigurowanie logowania jednokrotnego (SSO) w aplikacjach SAML.

  2. Pobierz identyfikator dostawcy tożsamości z końca adresu URL identyfikatora jednostki.

  3. Upewnij się, że identyfikator dostawcy tożsamości w adresie URL żądania jest taki sam jak identyfikator w adresie URL identyfikatora jednostki.

Błędy 500 podczas testowania procesu logowania jednokrotnego SAML

Gdy użytkownicy testują proces logowania jednokrotnego SAML w procesach inicjowanych przez dostawcę tożsamości lub dostawcę usług, mogą napotkać jeden z kilku błędów 500 powodowanych niedostępnością procesów backendu.

Aby naprawić błędy 500 związane z testowaniem procesu logowania jednokrotnego SAML:

Poczekaj, a następnie spróbuj ponownie wykonać ten proces. Jeśli to nie rozwiąże problemu, skontaktuj się z zespołem pomocy Google Cloud.

Komunikaty o błędach związane z dostępem do aplikacji SAML

Błąd 1000 przy próbie uzyskania dostępu do strony w aplikacji SAML

Aby naprawić błąd dostępu do strony w aplikacji SAML:

Skontaktuj się z zespołem pomocy Google Cloud.

Błąd 1000 przy próbie uzyskania dostępu do ustawień aplikacji SAML

Aby naprawić błąd dostępu do ustawień aplikacji SAML:

Skontaktuj się z zespołem pomocy Google Cloud.

Komunikat o błędzie informujący o usunięciu schematu użytkownika aplikacji SAML

400

Ten błąd występuje podczas próby usunięcia niestandardowego schematu powiązanego na zasadzie mapowania atrybutów w przypadku aplikacji SAML, która została już usunięta. Ten błąd może wystąpić, jeśli schemat został utworzony przed rozwiązaniem problemu.

Aby naprawić błąd usunięcia schematu użytkownika aplikacji SAML:

Skontaktuj się z zespołem pomocy Google Cloud.

Czy to było pomocne?

Jak możemy ją poprawić?
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne