Komunikaty o błędach aplikacji SAML

Jeśli napotkasz jakikolwiek komunikat o błędzie aplikacji SAML (Security Assertion Markup Language), możesz skorzystać z opisanych poniżej czynności, aby rozwiązać problem.

Błędy tworzenia aplikacji SAML

Podczas tworzenia aplikacji SAML w konsoli administracyjnej możesz zobaczyć taki błąd 400:

400 duplicate entity id (zduplikowany identyfikator jednostki)

Pojawia on się, gdy próbujesz utworzyć aplikację o identyfikatorze jednostki, który już istnieje. Aby go naprawić, użyj aplikacji, która jest już skonfigurowana, lub użyj innego identyfikatora jednostki.

Podczas tworzenia aplikacji SAML w konsoli administracyjnej możesz zobaczyć takie błędy 500:

  • Jeśli w sekcji Informacje o dostawcy tożsamości Google klikniesz przycisk Pobierz certyfikat lub Pobierz metadane, gdy usługa zaplecza obsługi certyfikatów będzie niedostępna, u góry ekranu pojawi się błąd 500.
  • Jeśli podczas ładowania schematów w mapowaniu elementu NameID lub atrybutu upłynie czas wykonywania usługi schematów lub zostanie wyświetlony wyjątek zaplecza, u góry ekranu pojawi się błąd 500.
  • Jeśli usługa spconfig będzie niedostępna, w ostatnim kroku po kliknięciu Finish (Zakończ) u góry ekranu pojawi się błąd 500.

Aby usunąć wszystkie te błędy 500, musisz po prostu poczekać chwilę i spróbować ponownie wykonać daną czynność. Jeśli to nie rozwiąże problemu, skontaktuj się z zespołem pomocy Google Cloud. Jeśli rozwiążesz ten problem, ale użytkownicy nadal będą widzieli komunikat o błędzie, też skontaktuj się z zespołem pomocy Google Cloud.

Błędy czasu działania SAML

Poniższe błędy mogą wystąpić w przypadku próby logowania jednokrotnego SAML w przebiegach zainicjowanych przez dostawcę tożsamości lub dostawcę usługi:

403 app_not_configured (aplikacja nie jest skonfigurowana)

Ten błąd może wystąpić w tych przypadkach:

  • Jeśli w przebiegu zainicjowanym przez dostawcę usługi aplikacja odpowiadająca identyfikatorowi jednostki wymienionemu w żądaniu nie została utworzona w konsoli administracyjnej.

  • Jeśli w przebiegu zainicjowanym przez dostawcę usługi identyfikator jednostki podany w żądaniu SAMLRequest nie pasuje do żadnego identyfikatora jednostki aktualnie zainstalowanych aplikacji. Błąd app_not_configured występuje, gdy ktoś zmodyfikuje identyfikator aplikacji (identyfikator dostawcy usługi) wymieniony w adresie URL zainicjowanym przez dostawcę tożsamości.

Aby naprawić błąd 403 app_not_configured:

  1. Przed zainicjowaniem żądania upewnij się, że aplikacja odpowiadająca identyfikatorowi jednostki wymienionemu w żądaniu została zainstalowana.
  2. Upewnij się, że identyfikator jednostki podany w żądaniu SAMLRequest jest prawidłowy i odpowiada identyfikatorowi określonemu podczas tworzenia aplikacji.
  3. Upewnij się, że identyfikator dostawcy usługi przekazywany w adresie URL żądania jest taki sam jak identyfikator aplikacji w komunikacie o błędzie app_not_enabled:.

403 app_not_configured_for_user (aplikacja nieskonfigurowana dla użytkownika)

Aby naprawić błąd 403 app_not_configured_for_user: 

Upewnij się, że wartość tagu saml:Issuer w żądaniu SAMLRequest jest zgodna z wartością Identyfikatora jednostki skonfigurowaną w sekcji Szczegóły usługodawcy SAML w konsoli administracyjnej. Wielkość liter w tej wartości ma znaczenie.

400 The application with the corresponding entity id is not enabled for the user (Aplikacja o podanym identyfikatorze jednostki nie została włączona dla tego użytkownika)

Aby naprawić błąd 400 aplikacji o podanym identyfikatorze jednostki:

  1. Otwórz rozszerzone menu.
  2. WŁĄCZ usługę dla wszystkich lub dla organizacji użytkownika.

400 saml_invalid_user_id_mapping (nieprawidłowe mapowanie identyfikatora użytkownika SAML)

Jeśli dostawca usługi wysyła parametr NAMEID w żądaniu SAMLRequest, ten parametr musi być taki sam jak parametr skonfigurowany po stronie dostawcy tożsamości. W przeciwnym razie żądanie SAMLRequest zwróci ten błąd.

Aby naprawić błąd 400 saml_invalid_user_id_mapping:

  1. Otwórz Informacje podstawowe i sprawdź parametr NAMEID.
  2. Upewnij się, że parametr NAMEID przekazywany w żądaniu SAMLRequest jest taki sam jak parametr skonfigurowany po stronie dostawcy tożsamości.

400 saml_invalid_sp_id (nieprawidłowy identyfikator dostawcy usługi SAML)

Identyfikator dostawcy usług w adresie URL przepływu inicjowanego przez dostawcę tożsamości jest nieprawidłowy z powodu błędu konfiguracji lub zmodyfikowanego adresu URL.

Aby naprawić błąd 400 saml_invalid_sp_id:

  1. Otwórz Informacje podstawowe i sprawdź pole identyfikatora aplikacji.

  2. Upewnij się, że identyfikator dostawcy usługi przekazywany w adresie URL żądania jest taki sam jak identyfikator aplikacji.

SAML odsyła stan DENIED (ODRZUCONO) w tych przypadkach.

Możesz zobaczyć któryś z tych komunikatów o błędach:

SP-initiated Flow Invalid request (Nieprawidłowe żądanie przepływu inicjowanego przez dostawcę usługi), ACS URL in request $parameter doesn't match configured ACS URL $parameter (Parametr $parameter adresu URL usługi ACS w żądaniu nie odpowiada skonfigurowanemu parametrowi $parameter adresu URL usługi ACS).


URL usługi ACS określony w żądaniu SAMLRequest jest inny niż URL usługi ACS skonfigurowany w konsoli administracyjnej dla danej aplikacji.

Aby naprawić błąd Parametr $parameter adresu URL usługi ACS w żądaniu nie odpowiada skonfigurowanemu parametrowi $parameter adresu URL usługi ACS:

  1. Otwórz Szczegóły usługodawcy.

  2. Upewnij się, że URL usługi ACS jest taki sam jak w żądaniu SAMLRequest.

Invalid idpid provided in the url (W adresie URL podano nieprawidłowy identyfikator dostawcy tożsamości)

Oznacza to, że identyfikator dostawcy tożsamości (zniekształcony identyfikator klienta) podany w adresie URL został zmieniony i jest nieprawidłowy.

Aby naprawić błąd nieprawidłowego identyfikatora dostawcy tożsamości w adresie URL:

  1. Otwórz stronę Informacje o dostawcy tożsamości Google. 

  2. Pobierz identyfikator dostawcy tożsamości z końca adresu URL identyfikatora jednostki.

  3. Upewnij się, że identyfikator dostawcy tożsamości w adresie URL żądania jest taki sam jak identyfikator w adresie URL identyfikatora jednostki.

IdP-initiated Flow Invalid idpid provided in the request (W żądaniu podano nieprawidłowy identyfikator dostawcy tożsamości przepływu inicjowanego przez tego dostawcę)

Użytkownik wywołujący zmodyfikował URL logowania jednokrotnego inicjowanego przez dostawcę tożsamości i zmienił identyfikator tego dostawcy na inny identyfikator klienta (zniekształcony).

Aby naprawić błąd nieprawidłowego identyfikatora dostawcy tożsamości w żądaniu:

  1. Otwórz stronę Informacje o dostawcy tożsamości Google. 

  2. Pobierz identyfikator dostawcy tożsamości z końca adresu URL identyfikatora jednostki.

  3. Upewnij się, że identyfikator dostawcy tożsamości w adresie URL żądania jest taki sam jak identyfikator w adresie URL identyfikatora jednostki.

Gdy użytkownicy próbują wykonać przepływ logowania jednokrotnego SAML w przepływach inicjowanych przez dostawcę tożsamości lub dostawcę usługi, mogą napotkać któryś z kilku błędów 500 spowodowany niedostępnością procesów zaplecza.

Aby usunąć wszystkie te błędy 500, musisz po prostu poczekać chwilę i spróbować ponownie wykonać daną czynność. Jeśli to nie rozwiąże problemu, skontaktuj się z zespołem pomocy Google Cloud. Jeśli rozwiążesz ten problem, ale użytkownicy nadal będą widzieli komunikat o błędzie, też skontaktuj się z zespołem pomocy Google Cloud.

Czy to było pomocne?
Jak możemy ją poprawić?