При возникновении ошибок, связанных с SAML (языком разметки декларации безопасности), следуйте инструкциям ниже.
Как кодировать или декодировать запросы и ответы SAML
Чтобы вам было проще устранять неполадки, воспользуйтесь инструментом кодирования и декодирования для обработки запросов и ответов SAML из файла в формате HTTP Archive Format (HAR) в словесной форме.
Ошибки при добавлении приложения SAML
При добавлении приложения SAML в консоль администратора может возникнуть ошибка 400.
400 неуникальный идентификатор объекта
Это сообщение появляется, когда вы пытаетесь добавить приложение с уже существующим идентификатором объекта.
Чтобы исправить эту ошибку, выполните следующие действия:
Используйте уже настроенное приложение или укажите другой идентификатор объекта.
500 ошибки при создании приложения SAML
При добавлении SAML-приложения в консоли администратора вы можете столкнуться с ошибками 500. Они появляются в следующих случаях:
- В разделе Сведения о поставщике идентификационной информации Google вы нажали кнопку Скачать сертификат или Скачать метаданные, когда сервер сертификатов был недоступен.
- Во время загрузки схемы при сопоставлении идентификатора названия или атрибута, если превышено время ожидания отклика от сервиса схем или возникли ошибки на сервере.
- Сервис настройки поставщика услуг недоступен. Ошибка 500 возникает на последнем этапе, когда вы нажимаете Готово.
Чтобы устранить ошибки 500 при добавлении SAML-приложения:
При возникновении этих проблем подождите немного и повторите попытку. Если ошибку устранить не удалось, обратитесь в службу поддержки Google Cloud.
Ошибки выполнения SAML
Если в ходе процессов, запущенных поставщиком услуг или поставщиком услуг идентификации (IdP), вы использовали систему единого входа на базе SAML, могут возникнуть следующие ошибки:
403 app_not_configured (приложение не настроено)
Эта ошибка может появиться в следующих случаях:
-
Приложение, соответствующее указанному в запросе идентификатору объекта, не было добавлено в консоль администратора.
- Идентификатор объекта, указанный в запросе SAML, не соответствует ни одному из идентификаторов для существующих приложений. Если кто-либо исказил идентификатор приложения, указанный в URL от поставщика услуг идентификации, вы увидите ошибку
app_not_configured
.
Чтобы устранить эту ошибку, выполните следующие действия:
- Убедитесь, что приложение, соответствующее идентификатору объекта в запросе, было установлено до отправки этого запроса.
- Удостоверьтесь, что идентификатор объекта в запросе SAML указан правильно и соответствует выбранному приложению.
- Убедитесь, что идентификатор поставщика услуг в URL запроса соответствует значению, указанному для приложения.
403 app_not_configured_for_user (приложение не настроено для пользователя)
Чтобы устранить эту ошибку, выполните следующие действия:
Убедитесь, что значение тега saml:Issuer в запросе SAML совпадает со значением идентификатора объекта, заданным для SAML-приложения в разделе Сведения о поставщике услуг консоли администратора. Значение чувствительно к регистру.
403 app_not_enabled_for_user (приложение не включено для пользователя)
Чтобы устранить эту ошибку, выполните следующие действия:
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
- В списке приложений найдите SAML-приложение, из-за которого возникает ошибка.
- Нажмите на его название, чтобы открыть страницу настроек.
- Выберите Доступ пользователей.
- Включите приложение для всех пользователей или для нужного организационного подразделения.
400 saml_invalid_user_id_mapping (неправильное сопоставление имени пользователя в SAML)
Если в запросе SAML поставщик услуг отправил параметр Идентификатор названия, он должен соответствовать значению, указанному на стороне поставщика идентификационной информации. В противном случае система выдаст ошибку.
Чтобы исправить эту ошибку, выполните следующие действия:
- Откройте раздел Основные сведения и проверьте параметр Идентификатор названия.
- Убедитесь, что он соответствует значению запроса SAML, указанному на стороне поставщика идентификационной информации.
400 saml_invalid_sp_id (SAML неправильный идентификатор поставщика услуг)
Ошибка возникает, если идентификатор поставщика услуг в URL указан неверно, так как был некорректно настроен или подменен.
Чтобы исправить эту ошибку, выполните следующие действия:
-
Откройте раздел Основные сведения и проверьте идентификатор приложения.
-
Убедитесь, что идентификатор поставщика услуг в URL запроса соответствует значению, указанному для приложения.
Иногда в ответ на запрос SAML приходит отказ. В этом случае может появиться одно из трех сообщений об ошибке, указанных ниже.
Недопустимый запрос от поставщика услуг, URL ACS в запросе не соответствует настроенному
Эта ошибка означает, что URL ACS в запросе SAML не соответствует значению, указанному для приложения в консоли администратора.
Чтобы исправить эту ошибку, выполните следующие действия:
-
Перейдите в раздел Сведения о поставщике услуг.
-
Введите URL ACS, который указан в запросе SAML.
Недопустимый идентификатор поставщика услуг идентификационной информации в URL
Указанный в URL идентификатор поставщика идентификационной информации (зашифрованный идентификатор клиента) был искажен и является некорректным.
Чтобы исправить эту ошибку, выполните следующие действия:
-
Перейдите в раздел БезопасностьНастройка системы единого входа для SAML-приложений.
-
В конце URL идентификатора объекта найдите идентификатор поставщика услуг идентификационной информации.
- Убедитесь, что он соответствует идентификатору, указанному в URL запроса.
Недопустимый идентификатор поставщика услуг идентификации в запросе
URL системы единого входа со стороны поставщика услуг идентификации был искажен. Идентификатор поставщика скрытым образом изменен на идентификатор другого клиента.
Чтобы исправить эту ошибку, выполните следующие действия:
-
Перейдите в раздел БезопасностьНастройка системы единого входа для SAML-приложений.
-
В конце URL идентификатора объекта найдите идентификатор поставщика услуг идентификационной информации.
- Убедитесь, что он соответствует идентификатору, указанному в URL запроса.
Ошибки 500 при тестировании системы единого входа на базе SAML
Когда пользователи выполняют аутентификацию в системе единого входа на базе SAML через поставщика услуг или поставщика услуг идентификационной информации, они могут столкнуться с одной из ошибок 500 из-за недоступности сервера.
Чтобы устранить ошибки 500 при тестировании системы единого входа на базе SAML:
При возникновении этих ошибок подождите немного и повторите попытку. Если неполадку устранить не удалось, обратитесь в службу поддержки Google Cloud.
Сообщения об ошибках доступа к приложениям SAML
1000 ошибка доступа к приложению SAML
Чтобы исправить эту ошибку, выполните следующие действия:
Обратитесь в службу поддержки Google Cloud.
1000 ошибка доступа к настройкам приложения SAML
Чтобы исправить эту ошибку, выполните следующие действия:
Обратитесь в службу поддержки Google Cloud.
Сообщение об ошибке в приложении SAML при удалении схемы пользователя
400
Эта ошибка возникает, если вы пытаетесь удалить специальную схему, которая выполняет роль сопоставления атрибутов для удаленного SAML-приложения. Ошибка 400 может возникать, если вы создали схему до устранения этой проблемы.
Чтобы исправить ошибку, выполните следующие действия:
Обратитесь в службу поддержки Google Cloud.