SAML 应用错误消息

如果您收到任何安全断言标记语言 (SAML) 应用错误消息,以下问题排查步骤可帮助您解决问题。

对 SAML 请求和响应进行编码或解码

为帮助排查问题,请使用 SAML 编码/解码工具从 HTTP 归档格式 (HAR) 文件中以用户可理解的形式处理 SAML 请求和响应。请参阅 https://toolbox.googleapps.com/apps/encode_decode/

SAML 应用创建错误

在管理控制台中创建 SAML 应用时,您可能会看到以下 400 错误:

400 duplicate entity id(400 重复的实体 ID)

如果您尝试使用已经存在的实体 ID 创建应用,则可能会看到此错误消息。

如要修正 400 duplicate entity id 错误,请按以下步骤操作:

使用已配置的应用或使用其他实体 ID。

创建 SAML 应用时出现的 500 错误

在管理控制台中创建 SAML 应用时,您可能会看到以下 500 错误:

  • Google IdP 信息部分,如果您在无法使用证书后端服务的情况下点击下载证书下载元数据按钮,则系统会在屏幕顶部显示 500 错误消息。
  • 加载名称 ID 映射属性映射中的架构时,如果架构服务超时或显示后端异常,则系统会在屏幕顶部显示 500 错误消息。
  • 如果服务提供商配置服务无法使用,则您在点击完成时,系统会在屏幕顶部显示 500 错误。

如要解决创建 SAML 应用时出现的 500 错误,请按以下步骤操作:

稍等片刻,然后再次尝试按流程操作。如果错误仍然存在,请与 Google Cloud 支持团队联系。

SAML 运行时错误

当您在身份提供商 (IdP) 或服务提供商 (SP) 初始化的流程中尝试执行 SAML 单点登录 (SSO) 流程时,可能会遇到以下错误情况:

403 app_not_configured(403 应用尚未配置)

此错误可能会在以下情况下发生:

  • 在 SP 发起的流程中,需要与请求中提到的实体 ID 对应的应用,但您尚未在管理控制台中创建该应用。

  • 在 SP 发起的流程中,SAMLRequest中提供的实体 ID 与当前安装的应用的任何实体 ID 均不匹配。如果有人篡改了 IdP 发起的网址中提到的应用 ID (SP ID),系统就会显示 app_not_configured 错误。

如要修正 403 app_not_configured 错误,请按以下步骤操作:

  1. 在发起请求之前,确保您已安装与请求中提到的实体 ID 对应的应用。
  2. 确保 SAMLRequest 中提供的实体 ID 正确,且与创建应用时指定的实体 ID 匹配。
  3. 确保请求网址中传送的 SP ID 与 app_not_enabled(未启用应用)中的应用 ID 相同。

403 app_not_configured_for_user(403 尚未为用户配置应用)

如要修正 403 app_not_configured_for_user 错误,请按以下步骤操作:

确保 SAMLRequest 中的 saml:Issuer 标签与管理控制台中 SAML 服务提供商详情部分的实体 ID 值一致。该值区分大小写。

400 The application with the corresponding entity id is not enabled for the user(400 尚未为用户启用该实体 ID 对应的应用)

要修正 400 The application-corresponding entityID 错误,请按以下步骤操作:

  1. 转到菜单。
  2. 为所有人或用户的单位开启此服务。

400 saml_invalid_user_id_mapping(400 SAML 用户 ID 映射无效)

如果服务提供商在 SAMLRequest 中发送了 NAMEID 参数,则此参数必须与 IdP 方配置的参数相同。否则 SAMLRequest 会因此错误而失败。

要修正 400 saml_invalid_user_id_mapping 错误,请按以下步骤操作:

  1. 转到基本详细信息,然后检查 NAMEID 参数。
  2. 确保在 SAMLRequest 中传递的 NAMEID 参数与 IdP 方配置的参数相同。

400 saml_invalid_sp_id(400 SAML SP ID 无效)

当 IdP 流程中网址的服务提供商 ID 不正确时,就会出现此错误,这是因为网址可能配置错误或者遭到了篡改。

要修正 400 saml_invalid_sp_id 错误,请按以下步骤操作:

  1. 转到基本详细信息,然后检查应用 ID 字段。

  2. 请确保请求网址中传递的 SP ID 与应用 ID 相同。

如果出现以下情况,SAML 回复会发回 DENIED(遭拒)状态。您可能会看到以下三种相关错误消息之一。

SP-initiated Flow Invalid request, ACS URL in request $parameter doesn't match configured ACS URL $parameter(SP 发起的流程中请求无效,请求“$parameter”中的 ACS 网址与配置的 ACS 网址“$parameter”不符)。


在这种情况下,SAMLRequest 中指定的 ACS 网址和在管理控制台中为对应应用配置的 ACS 网址不符。

要修正 the ACS URL in request $parameter doesn't match configured ACS URL $parameter error 错误,请按以下步骤操作:

  1. 转到服务提供商详细信息

  2. 检查 ACS 网址是否与 SAMLRequest 中的相同。

Invalid idpid provided in the url(网址中提供的 IdP ID 无效)

也就是说,网址中提供的 IdP ID(经过模糊处理的客户 ID)已被篡改或不正确。

要修正 Invalid idpid provided in the url 错误,请按以下步骤操作:

  1. 转到 Google IdP 信息页面。

  2. 实体 ID 网址末尾获取 IdP ID

  3. 确保请求网址中的 IdP ID实体 ID 中的 IdP ID 相同。

IdP-initiated Flow Invalid idpid provided in the request (在 IdP 发起的流程中,请求中提供的 IdP 无效)。

呼叫方用户篡改了 IdP 发起的 SSO 网址,并将 IdP ID 更改为其他客户 ID(经模糊处理)。

要修正请求中的 IdP ID 无效错误,请按以下步骤操作:

  1. 转到 Google IdP 信息页面。

  2. 实体 ID 网址末尾获取 IdP ID

  3. 确保请求网址中的 IdP ID实体 ID 网址中的 IdP ID 相同。

测试 SAML 单点登录流程时出现 500 错误

当用户在 IdP 或 SP 发起的流程中测试 SAML SSO 流程时,他们可能会由于后端处理程序无法使用而遇到其中一种 500 错误。

要解决测试 SAML 单点登录流程时出现的 500 错误,请按以下步骤操作:

稍等片刻,然后再次尝试按照流程操作。如果问题仍然存在,请联系 Google Cloud 支持团队

SAML 应用访问错误消息

1000 SAML 应用页面访问错误

如要修正 SAML 应用页面访问错误,请按以下步骤操作:

联系 Google Cloud 支持团队

1000 SAML 应用设置页面访问错误

如要修正 SAML 应用设置页面访问错误,请按以下步骤操作:

联系 Google Cloud 支持团队

SAML 应用用户架构删除错误消息

400

如果您尝试删除的自定义架构与已删除的 SAML 应用之间存在属性映射关联,就会出现此错误。如果您在解决此问题前创建了架构,则可能出现此问题。

如要修正 SAML 应用用户架构删除错误,请按以下步骤操作:

联系 Google Cloud 支持团队

该内容对您有帮助吗?
您有什么改进建议?