Mensagens de erro de apps SAML

Se aparecerem mensagens de erro de apps SAML (Linguagem de marcação para autorização de segurança), siga estas etapas de solução de problemas.

Codificar ou decodificar solicitações e respostas SAML

Para ajudar na solução de problemas, use a ferramenta de codificação/decodificação SAML para processar solicitações e respostas SAML em formato legível com o arquivo HTTP Archive (HAR, na sigla em inglês). Consulte https://toolbox.googleapps.com/apps/encode_decode/.

Erros durante a criação de um app SAML

Ao criar um app SAML no Admin Console, talvez você veja o seguinte erro 400:

400 código de entidade duplicado

Essa mensagem será exibida se você tentar criar um aplicativo com um código de entidade.

Para resolver o erro "400 código de entidade duplicado":

Use o aplicativo já configurado ou um código de entidade diferente.

Erros 500 referentes à criação do app SAML

Ao criar um app SAML no Admin Console, talvez você veja os seguintes erros 500:

  • Na seção Detalhes do provedor de identidade do Google, se você clicar nos botões Fazer o download do certificado ou Fazer o download dos metadados quando o serviço de back-end do serviço de certificados estiver indisponível, um erro 500 aparecerá na parte superior da tela.
  • Quando você carregar os esquemas em Mapeamento de NameID ou Mapeamento de atributos, se o tempo limite do esquema se esgotar ou uma exceção de back-end for exibida, um erro 500 aparecerá na parte superior da tela.
  • Se o serviço Configuração do provedor de serviços estiver indisponível, um erro 500 aparecerá na parte superior da tela quando você clicar em Concluir.

Para resolver possíveis erros 500 ao criar o app SAML, faça o seguinte:

Aguarde e teste o fluxo novamente. Se os erros continuarem ocorrendo, entre em contato com o Suporte do Google Cloud.

Erros de execução SAML

Os seguintes erros podem ocorrer quando você testa um fluxo de logon único (SSO) SAML em fluxos iniciados pelo provedor de identidade (IdP) ou pelo provedor de serviços (SP):

403 app_not_configured

Esse erro pode ocorrer nestes casos:

  • Em um fluxo iniciado pelo provedor de serviços, o aplicativo correspondente ao código da entidade mencionado na solicitação não foi criado no Admin Console.

  • Em um fluxo iniciado pelo provedor de serviços, o código da entidade fornecido em "SAMLRequest" não corresponde aos códigos da entidade dos aplicativos instalados. Se alguém alterar o ID do aplicativo (SP ID) mencionado no URL iniciado pelo IdP, você verá o erro app_not_configured.

Para resolver o erro "403 app_not_configured":

  1. Antes de iniciar a solicitação, verifique se o aplicativo correspondente ao código da entidade mencionado na solicitação foi instalado.
  2. Verifique se o código da entidade fornecido em SAMLRequest está correto e corresponde ao código especificado durante a criação do app.
  3. Verifique se o SP ID transmitido no URL de solicitação é o mesmo de "app-id app_not_enabled:".

403 app_not_configured_for_user

Para resolver o erro "403 app_not_configured_for_user":

Confirme se o valor na tag saml:Issuer em SAMLRequest corresponde ao valor definido em ID da entidade na seção Detalhes do provedor de serviços do SAML no Admin Console. Esse valor diferencia maiúsculas de minúsculas.

403 app_not_enabled_for_user

Para resolver o erro "403 app_not_enabled_for_user", faça o seguinte:

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.

  3. Na lista de apps, localize o app SAML que está gerando o erro.
  4. Clique no app para abrir a página "Configurações".
  5. Clique em Acesso de usuário.
  6. Ative o app para todos ou para a organização do usuário.

400 saml_invalid_user_id_mapping

Quando um provedor de serviços envia um parâmetro NAMEID em SAMLRequest, esse parâmetro precisa ser igual ao configurado no IdP. Caso contrário, SAMLRequest falhará com este erro.

Para resolver o erro "400 saml_invalid_user_id_mapping", faça o seguinte:

  1. Acesse Detalhes básicos e verifique o parâmetro NAMEID.
  2. Confirme se o parâmetro NAMEID transmitido em SAMLRequest é igual ao configurado no IdP.

400 saml_invalid_sp_id

Esse erro ocorre quando o código do provedor de serviços no URL do fluxo do IdP está incorreto devido à configuração incorreta ou à adulteração do URL.

Para resolver o erro "400 saml_invalid_sp_id":

  1. Acesse Detalhes básicos e verifique o campo app-id.

  2. Verifique se o SP ID transmitido no URL da solicitação é o mesmo de app-id.

A resposta SAML retorna um status NEGADO para os cenários a seguir. Talvez você veja uma das três mensagens de erro relacionadas abaixo.

Solicitação inválida de fluxo iniciado pelo provedor de serviços, o URL do ACS em $parameter na solicitação não corresponde ao $parameter do URL do ACS configurado.


Nesse caso, o URL do ACS especificado em SAMLRequest e o URL do ACS configurado no Admin Console do aplicativo não correspondem.

Para resolver o erro "O URL do ACS em $parameter na solicitação não corresponde ao $parameter do URL do ACS configurado", faça o seguinte:

  1. Acesse Detalhes do provedor de serviços.

  2. Verifique se o URL do ACS é o mesmo de SAMLRequest.

Código do IdP inválido fornecido no URL

Isso significa que o ID do IdP (um ID de cliente ofuscado) fornecido no URL foi adulterado e está incorreto. 

Para resolver o erro "ID do IdP inválido no URL", faça o seguinte:

  1. Acesse Segurançae depoisConfigurar o Logon único (SSO) em aplicativos SAML.

  2. Acesse a string idpid no fim do URL do ID da entidade.

  3. Verifique se o ID do IdP no URL de solicitação é o mesmo do URL do ID da entidade.

Código do IdP inválido de fluxo iniciado pelo IdP fornecido na solicitação.

O usuário chamador alterou o URL do SSO iniciado pelo IdP e alterou o código do IdP para outro ID de cliente (ofuscado).

Para resolver o erro "ID do IdP inválido na solicitação", faça o seguinte:

  1. Acesse Segurançae depoisConfigurar o Logon único (SSO) em aplicativos SAML.

  2. Acesse a string idpid no fim do URL do ID da entidade.

  3. Verifique se o ID do IdP no URL da Solicitação é o mesmo do ID da entidade.

Erros 500 ao testar um fluxo de SSO SAML

Quando os usuários testam um fluxo de SSO SAML em fluxos iniciados pelo IdP ou pelo provedor de serviços, podem encontrar diversos erros 500 causados pela indisponibilidade de processos de back-end.

Para resolver possíveis erros 500 ao testar um fluxo de SSO SAML, faça o seguinte:

Aguarde e teste o fluxo novamente. Se o problema persistir, entre em contato com o Suporte do Google Cloud.

Mensagens de erro de acesso ao app SAML

1000 no acesso à página do app SAML

Para resolver erros de acesso à página do app SAML, faça o seguinte:

Entre em contato com o Suporte do Google Cloud.

1000 no acesso às configurações do app SAML

Para resolver erros de acesso às configurações do app SAML, faça o seguinte:

Entre em contato com o Suporte do Google Cloud.

Mensagem de erro de exclusão do esquema de usuário do app SAML

400

Este erro ocorre quando você tenta excluir um esquema personalizado associado como um mapeamento de atributos para um app SAML que já foi excluído. Este erro pode ocorrer quando você cria o esquema antes de corrigir o problema. 

Para resolver o erro de exclusão do esquema de usuário dos apps SAML, faça o seguinte:

Entre em contato com o Suporte do Google Cloud.

Isso foi útil?

Como podemos melhorá-lo?
true
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
5820218401729260052
true
Pesquisar na Central de Ajuda
true
true
true
false
false