Jeśli wystąpi jakikolwiek komunikat o błędzie aplikacji SAML (Security Assertion Markup Language), możesz skorzystać z opisanych poniżej czynności, aby rozwiązać problem.
Kodowanie oraz dekodowanie żądań i odpowiedzi SAML
Aby łatwiej rozwiązać problem, użyj narzędzia do kodowania/dekodowania SAML, by przetworzyć żądania i odpowiedzi SAML zawarte w pliku HAR (HTTP Archive Format) do postaci zrozumiałej dla człowieka. Zobacz https://toolbox.googleapps.com/apps/encode_decode/.
Błędy tworzenia aplikacji SAML
Podczas tworzenia aplikacji SAML w konsoli administracyjnej możesz zobaczyć taki błąd 400:
400 duplicate entity id (zduplikowany identyfikator jednostki)
Pojawia się on, gdy próbujesz utworzyć aplikację o identyfikatorze jednostki, który już istnieje.
Aby naprawić błąd 400 dotyczący zduplikowanego identyfikatora jednostki:
Użyj aplikacji, która jest już skonfigurowana, lub użyj innego identyfikatora jednostki.
Błędy 500 podczas tworzenia aplikacji SAML
Podczas tworzenia aplikacji SAML w konsoli administracyjnej możesz zobaczyć następujące błędy 500:
- Jeśli w sekcji Informacje o dostawcy tożsamości Google klikniesz przycisk Pobierz certyfikat lub Pobierz metadane, gdy usługa backendu obsługi certyfikatów będzie niedostępna, u góry ekranu pojawi się błąd 500.
- Jeśli podczas ładowania schematów w procesie mapowania elementów NameID lub mapowania atrybutów zostanie przekroczony limit czasu usługi schematów lub zostanie wyświetlony wyjątek backendu, u góry ekranu pojawi się błąd 500.
- Jeśli usługa konfiguracji dostawcy usług jest niedostępna, po kliknięciu Zakończ u góry ekranu pojawi się błąd 500.
Aby naprawić błędy 500 występujące podczas tworzenia aplikacji SAML:
Poczekaj chwilę i spróbuj ponownie wykonać daną czynność. Jeśli nadal występują błędy, skontaktuj się z zespołem pomocy Google Cloud.
Błędy czasu działania SAML
Poniższe błędy mogą wystąpić w przypadku próby logowania jednokrotnego SAML w procesach zainicjowanych przez dostawcę tożsamości lub dostawcę usług:
403 app_not_configured (aplikacja nie jest skonfigurowana)
Ten błąd może wystąpić w następujących przypadkach:
-
Jeśli w procesie zainicjowanym przez dostawcę usług aplikacja odpowiadająca identyfikatorowi jednostki wymienionemu w żądaniu nie została utworzona w konsoli administracyjnej.
- Jeśli w procesie zainicjowanym przez dostawcę usług identyfikator jednostki podany w żądaniu SAMLRequest nie pasuje do żadnego identyfikatora jednostki aktualnie zainstalowanych aplikacji. Błąd
app_not_configured
występuje, gdy ktoś zmodyfikuje identyfikator aplikacji (identyfikator dostawcy usługi) wymieniony w adresie URL zainicjowanym przez dostawcę tożsamości.
Aby naprawić błąd 403 app_not_configured:
- Przed zainicjowaniem żądania zainstaluj aplikację odpowiadającą identyfikatorowi jednostki wymienionemu w żądaniu.
- Upewnij się, że identyfikator jednostki podany w żądaniu SAMLRequest jest prawidłowy i odpowiada identyfikatorowi określonemu podczas tworzenia aplikacji.
- Upewnij się, że identyfikator dostawcy usług przekazywany w adresie URL żądania jest taki sam jak identyfikator aplikacji w komunikacie o błędzie app_not_enabled.
403 app_not_configured_for_user (aplikacja nieskonfigurowana dla użytkownika)
Aby naprawić błąd 403 app_not_configured_for_user:
Upewnij się, że wartość tagu saml:Issuer w żądaniu SAMLRequest jest zgodna z wartością identyfikatora jednostki skonfigurowaną w sekcji Informacje o dostawcy usługi SAML w konsoli administracyjnej. Wielkość liter w tej wartości ma znaczenie.
403 app_not_enabled_for_user (aplikacja wyłączona dla użytkownika)
Aby naprawić błąd 403 app_not_enabled_for_user:
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz Menu AplikacjeAplikacje internetowe i mobilne.
- Na liście aplikacji znajdź aplikację SAML generującą błąd.
- Kliknij aplikację SAML, aby otworzyć jej stronę ustawień.
- Kliknij Dostęp użytkownika.
- WŁĄCZ aplikację dla wszystkich lub dla organizacji użytkownika.
400 saml_invalid_user_id_mapping (nieprawidłowe mapowanie identyfikatora użytkownika SAML)
Jeśli dostawca usług wysyła parametr NAMEID w żądaniu SAMLRequest, ten parametr musi być taki sam jak parametr skonfigurowany po stronie dostawcy tożsamości. W przeciwnym razie żądanie SAMLRequest nie powiedzie się i zostanie zwrócony ten błąd.
Aby naprawić błąd 400 saml_invalid_user_id_mapping:
- Otwórz Informacje podstawowe i sprawdź parametr NAMEID.
- Upewnij się, że parametr NAMEID przekazywany w żądaniu SAMLRequest jest taki sam jak parametr skonfigurowany po stronie dostawcy tożsamości.
400 saml_invalid_sp_id (nieprawidłowy identyfikator dostawcy usług SAML)
Ten błąd występuje, gdy identyfikator dostawcy usług w adresie URL przepływu inicjowanego przez dostawcę tożsamości jest nieprawidłowy z powodu błędu konfiguracji lub zmodyfikowania adresu URL.
Aby naprawić błąd 400 saml_invalid_sp_id:
-
Otwórz Informacje podstawowe i sprawdź pole identyfikatora aplikacji.
-
Upewnij się, że identyfikator dostawcy usług przekazywany w adresie URL żądania jest taki sam jak identyfikator aplikacji.
W następujących przypadkach w odpowiedzi SAML jest odsyłany stan DENIED (ODRZUCONO). Możesz zobaczyć jeden z trzech następujących komunikatów o błędach.
SP-initiated Flow Invalid request (Nieprawidłowe żądanie przepływu inicjowanego przez dostawcę usługi), ACS URL in request $parameter doesn't match configured ACS URL $parameter (Parametr $parameter adresu URL usługi ACS w żądaniu nie odpowiada skonfigurowanemu parametrowi $parameter adresu URL usługi ACS).
W tym przypadku adres URL usługi ACS podany w żądaniu SAMLRequest jest inny niż adres URL usługi ACS skonfigurowany w konsoli administracyjnej dla danej aplikacji.
Aby naprawić błąd Parametr $parameter adresu URL usługi ACS w żądaniu nie odpowiada skonfigurowanemu parametrowi $parameter adresu URL usługi ACS:
-
Otwórz Informacje o dostawcy usługi.
-
Upewnij się, że adres URL usługi ACS jest taki sam jak adres w żądaniu SAMLRequest.
Invalid idpid provided in the url (W adresie URL podano nieprawidłowy identyfikator dostawcy tożsamości)
Identyfikator dostawcy tożsamości (zniekształcony identyfikator klienta) podany w adresie URL został zmieniony i jest nieprawidłowy.
Aby naprawić błąd nieprawidłowego identyfikatora dostawcy tożsamości w adresie URL:
-
Otwórz Bezpieczeństwo Konfigurowanie logowania jednokrotnego (SSO) w aplikacjach SAML.
-
Pobierz identyfikator dostawcy tożsamości z końca adresu URL identyfikatora jednostki.
- Upewnij się, że identyfikator dostawcy tożsamości w adresie URL żądania jest taki sam jak identyfikator w adresie URL identyfikatora jednostki.
IdP-initiated Flow Invalid idpid provided in the request (W żądaniu podano nieprawidłowy identyfikator dostawcy tożsamości przepływu inicjowanego przez tego dostawcę)
Użytkownik wywołujący zmodyfikował URL logowania jednokrotnego inicjowanego przez dostawcę tożsamości i zmienił identyfikator tego dostawcy na inny identyfikator klienta (zniekształcony).
Aby naprawić błąd nieprawidłowego identyfikatora dostawcy tożsamości w żądaniu:
-
Otwórz Bezpieczeństwo Konfigurowanie logowania jednokrotnego (SSO) w aplikacjach SAML.
-
Pobierz identyfikator dostawcy tożsamości z końca adresu URL identyfikatora jednostki.
- Upewnij się, że identyfikator dostawcy tożsamości w adresie URL żądania jest taki sam jak identyfikator w adresie URL identyfikatora jednostki.
Błędy 500 podczas testowania procesu logowania jednokrotnego SAML
Gdy użytkownicy testują proces logowania jednokrotnego SAML w procesach inicjowanych przez dostawcę tożsamości lub dostawcę usług, mogą napotkać jeden z kilku błędów 500 powodowanych niedostępnością procesów backendu.
Aby naprawić błędy 500 związane z testowaniem procesu logowania jednokrotnego SAML:
Poczekaj, a następnie spróbuj ponownie wykonać ten proces. Jeśli to nie rozwiąże problemu, skontaktuj się z zespołem pomocy Google Cloud.
Komunikaty o błędach związane z dostępem do aplikacji SAML
Błąd 1000 przy próbie uzyskania dostępu do strony w aplikacji SAML
Aby naprawić błąd dostępu do strony w aplikacji SAML:
Skontaktuj się z zespołem pomocy Google Cloud.
Błąd 1000 przy próbie uzyskania dostępu do ustawień aplikacji SAML
Aby naprawić błąd dostępu do ustawień aplikacji SAML:
Skontaktuj się z zespołem pomocy Google Cloud.
Komunikat o błędzie informujący o usunięciu schematu użytkownika aplikacji SAML
400
Ten błąd występuje podczas próby usunięcia niestandardowego schematu powiązanego na zasadzie mapowania atrybutów w przypadku aplikacji SAML, która została już usunięta. Ten błąd może wystąpić, jeśli schemat został utworzony przed rozwiązaniem problemu.
Aby naprawić błąd usunięcia schematu użytkownika aplikacji SAML:
Skontaktuj się z zespołem pomocy Google Cloud.