Komunikaty o błędach aplikacji SAML

Jeśli wystąpi jakikolwiek komunikat o błędzie aplikacji SAML (Security Assertion Markup Language), możesz skorzystać z opisanych poniżej czynności, aby rozwiązać problem.

Kodowanie oraz dekodowanie żądań i odpowiedzi SAML

Aby łatwiej rozwiązać problem, użyj narzędzia do kodowania/dekodowania SAML, by przetworzyć żądania i odpowiedzi SAML zawarte w pliku HAR (HTTP Archive Format) do postaci zrozumiałej dla człowieka. Zobacz https://toolbox.googleapps.com/apps/encode_decode/.

Błędy tworzenia aplikacji SAML

Podczas tworzenia aplikacji SAML w konsoli administracyjnej możesz zobaczyć taki błąd 400:

400 duplicate entity id (zduplikowany identyfikator jednostki)

Pojawia się on, gdy próbujesz utworzyć aplikację o identyfikatorze jednostki, który już istnieje.

Aby naprawić błąd 400 dotyczący zduplikowanego identyfikatora jednostki:

Użyj aplikacji, która jest już skonfigurowana, lub użyj innego identyfikatora jednostki.

Błędy 500 podczas tworzenia aplikacji SAML

Podczas tworzenia aplikacji SAML w konsoli administracyjnej możesz zobaczyć następujące błędy 500:

  • Jeśli w sekcji Informacje o dostawcy tożsamości Google klikniesz przycisk Pobierz certyfikat lub Pobierz metadane, gdy usługa backendu obsługi certyfikatów będzie niedostępna, u góry ekranu pojawi się błąd 500.
  • Jeśli podczas ładowania schematów w procesie mapowania elementów NameID lub mapowania atrybutów zostanie przekroczony limit czasu usługi schematów lub zostanie wyświetlony wyjątek backendu, u góry ekranu pojawi się błąd 500.
  • Jeśli usługa konfiguracji dostawcy usług jest niedostępna, po kliknięciu Zakończ u góry ekranu pojawi się błąd 500.

Aby naprawić błędy 500 występujące podczas tworzenia aplikacji SAML:

Poczekaj chwilę i spróbuj ponownie wykonać daną czynność. Jeśli nadal występują błędy, skontaktuj się z zespołem pomocy Google Cloud.

Błędy czasu działania SAML

Poniższe błędy mogą wystąpić w przypadku próby logowania jednokrotnego SAML w procesach zainicjowanych przez dostawcę tożsamości lub dostawcę usług:

403 app_not_configured (aplikacja nie jest skonfigurowana)

Ten błąd może wystąpić w następujących przypadkach:

  • Jeśli w procesie zainicjowanym przez dostawcę usług aplikacja odpowiadająca identyfikatorowi jednostki wymienionemu w żądaniu nie została utworzona w konsoli administracyjnej.

  • Jeśli w procesie zainicjowanym przez dostawcę usług identyfikator jednostki podany w żądaniu SAMLRequest nie pasuje do żadnego identyfikatora jednostki aktualnie zainstalowanych aplikacji. Błąd app_not_configured występuje, gdy ktoś zmodyfikuje identyfikator aplikacji (identyfikator dostawcy usługi) wymieniony w adresie URL zainicjowanym przez dostawcę tożsamości.

Aby naprawić błąd 403 app_not_configured:

  1. Przed zainicjowaniem żądania zainstaluj aplikację odpowiadającą identyfikatorowi jednostki wymienionemu w żądaniu.
  2. Upewnij się, że identyfikator jednostki podany w żądaniu SAMLRequest jest prawidłowy i odpowiada identyfikatorowi określonemu podczas tworzenia aplikacji.
  3. Upewnij się, że identyfikator dostawcy usług przekazywany w adresie URL żądania jest taki sam jak identyfikator aplikacji w komunikacie o błędzie app_not_enabled.

403 app_not_configured_for_user (aplikacja nieskonfigurowana dla użytkownika)

Aby naprawić błąd 403 app_not_configured_for_user:

Upewnij się, że wartość tagu saml:Issuer w żądaniu SAMLRequest jest zgodna z wartością identyfikatora jednostki skonfigurowaną w sekcji Szczegóły usługodawcy SAML w konsoli administracyjnej. Wielkość liter w tej wartości ma znaczenie.

400 The application with the corresponding entity id is not enabled for the user (aplikacja o podanym identyfikatorze jednostki nie została włączona dla tego użytkownika)

Aby naprawić błąd 400 aplikacji o podanym identyfikatorze jednostki:

  1. Otwórz rozszerzone menu.
  2. WŁĄCZ usługę dla wszystkich lub dla organizacji użytkownika.

400 saml_invalid_user_id_mapping (nieprawidłowe mapowanie identyfikatora użytkownika SAML)

Jeśli dostawca usług wysyła parametr NAMEID w żądaniu SAMLRequest, ten parametr musi być taki sam jak parametr skonfigurowany po stronie dostawcy tożsamości. W przeciwnym razie żądanie SAMLRequest nie powiedzie się i zostanie zwrócony ten błąd.

Aby naprawić błąd 400 saml_invalid_user_id_mapping:

  1. Otwórz Informacje podstawowe i sprawdź parametr NAMEID.
  2. Upewnij się, że parametr NAMEID przekazywany w żądaniu SAMLRequest jest taki sam jak parametr skonfigurowany po stronie dostawcy tożsamości.

400 saml_invalid_sp_id (nieprawidłowy identyfikator dostawcy usług SAML)

Ten błąd występuje, gdy identyfikator dostawcy usług w adresie URL przepływu inicjowanego przez dostawcę tożsamości jest nieprawidłowy z powodu niewłaściwej konfiguracji lub zmodyfikowania adresu URL.

Aby naprawić błąd 400 saml_invalid_sp_id:

  1. Otwórz Informacje podstawowe i sprawdź pole identyfikatora aplikacji.

  2. Upewnij się, że identyfikator dostawcy usług przekazywany w adresie URL żądania jest taki sam jak identyfikator aplikacji.

W następujących przypadkach w odpowiedzi SAML jest odsyłany stan DENIED (ODRZUCONO). Możesz zobaczyć jeden z trzech następujących komunikatów o błędach.

SP-initiated Flow Invalid request (Nieprawidłowe żądanie przepływu inicjowanego przez dostawcę usługi), ACS URL in request $parameter doesn't match configured ACS URL $parameter (Parametr $parameter adresu URL usługi ACS w żądaniu nie odpowiada skonfigurowanemu parametrowi $parameter adresu URL usługi ACS).


W tym przypadku URL usługi ACS podany w żądaniu SAMLRequest jest inny niż URL usługi ACS skonfigurowany w konsoli administracyjnej dla danej aplikacji.

Aby naprawić błąd Parametr $parameter adresu URL usługi ACS w żądaniu nie odpowiada skonfigurowanemu parametrowi $parameter adresu URL usługi ACS:

  1. Otwórz Szczegóły usługodawcy.

  2. Upewnij się, że URL usługi ACS jest taki sam jak w żądaniu SAMLRequest.

Invalid idpid provided in the url (W adresie URL podano nieprawidłowy identyfikator dostawcy tożsamości)

Ten identyfikator dostawcy tożsamości (zniekształcony identyfikator klienta) podany w adresie URL został zmieniony i jest nieprawidłowy. 

Aby naprawić błąd nieprawidłowego identyfikatora dostawcy tożsamości w adresie URL:

  1. Otwórz stronę Informacje o dostawcy tożsamości Google.

  2. Pobierz identyfikator dostawcy tożsamości z końca adresu URL identyfikatora jednostki.

  3. Upewnij się, że identyfikator dostawcy tożsamości w adresie URL żądania jest taki sam jak identyfikator w adresie URL identyfikatora jednostki.

IdP-initiated Flow Invalid idpid provided in the request (W żądaniu podano nieprawidłowy identyfikator dostawcy tożsamości przepływu inicjowanego przez tego dostawcę)

Użytkownik wywołujący zmodyfikował URL logowania jednokrotnego inicjowanego przez dostawcę tożsamości i zmienił identyfikator tego dostawcy na inny identyfikator klienta (zniekształcony).

Aby naprawić błąd nieprawidłowego identyfikatora dostawcy tożsamości w żądaniu:

  1. Otwórz stronę Informacje o dostawcy tożsamości Google.

  2. Pobierz identyfikator dostawcy tożsamości z końca adresu URL identyfikatora jednostki.

  3. Upewnij się, że identyfikator dostawcy tożsamości w adresie URL żądania jest taki sam jak identyfikator w adresie URL identyfikatora jednostki.

Błędy 500 podczas testowania procesu logowania jednokrotnego SAML

Gdy użytkownicy testują proces logowania jednokrotnego SAML w procesach inicjowanych przez dostawcę tożsamości lub dostawcę usług, mogą napotkać jeden z kilku błędów 500 powodowanych niedostępnością procesów backendu.

Aby naprawić błędy 500 związane z testowaniem procesu logowania jednokrotnego SAML:

Poczekaj, a następnie spróbuj ponownie wykonać ten proces. Jeśli to nie rozwiąże problemu, skontaktuj się z zespołem pomocy Google Cloud.

Komunikaty o błędach związane z dostępem do aplikacji SAML

Błąd 1000 przy próbie uzyskania dostępu do strony w aplikacji SAML

Aby naprawić błąd dostępu do strony w aplikacji SAML:

Skontaktuj się z zespołem pomocy Google Cloud.

Błąd 1000 przy próbie uzyskania dostępu do ustawień aplikacji SAML

Aby naprawić błąd dostępu do ustawień aplikacji SAML:

Skontaktuj się z zespołem pomocy Google Cloud.

Komunikat o błędzie informujący o usunięciu schematu użytkownika aplikacji SAML

400

Ten błąd występuje przy próbie usunięcia niestandardowego schematu powiązanego na zasadzie mapowania atrybutów w przypadku aplikacji SAML, która została już usunięta. Ten błąd może wystąpić, jeśli schemat został utworzony przed naprawieniem tego problemu. 

Aby naprawić błąd usunięcia schematu użytkownika aplikacji SAML:

Skontaktuj się z zespołem pomocy Google Cloud.

Czy to było pomocne?
Jak możemy ją poprawić?