如果您收到任何安全宣告標記語言 (SAML) 應用程式錯誤訊息,以下這些疑難排解步驟可協助您解決問題。
將 SAML 要求和回應進行編碼或解碼
為了便於排解問題,請使用 SAML 編碼/解碼工具將 HTTP 封存格式 (HAR) 檔案中的 SAML 要求和回應處理成使用者可理解的形式。請前往 https://toolbox.googleapps.com/apps/encode_decode/。
SAML 應用程式建立錯誤
在管理控制台中建立 SAML 應用程式時,您可能會看到以下 400 錯誤訊息:
400 duplicate entity id (實體 ID 重複)
如果您要建立的應用程式使用了現有的實體 ID,系統就會顯示這則錯誤訊息。
如何解決 400 實體 ID 重複錯誤:
請使用已設定的應用程式或其他實體 ID。
500 errors for SAML app creation (SAML 應用程式建立錯誤)
在管理控制台中建立 SAML 應用程式時,您可能會看到以下 500 錯誤訊息:
- 在憑證服務後端服務無法使用時,如果您點選「Google 識別資訊提供者詳細資料」部分中的 [下載憑證] 或 [下載中繼資料] 按鈕,畫面頂端就會顯示 500 錯誤訊息。
- 載入 NameID Mapping (名稱 ID 對應) 或 Attribute Mapping (屬性對應) 中的架構時,如果架構服務逾時或顯示後端例外,畫面頂端就會顯示 500 錯誤訊息。
- 如果 Service Provider Config (服務供應商設定) 服務無法使用,當您點選 [完成] 時,畫面頂端就會顯示 500 錯誤訊息。
如何解決 500 SAML 應用程式建立錯誤:
請稍候片刻再重新執行流程。如果仍會收到錯誤訊息,請與 Google Cloud 支援小組聯絡。
SAML 執行階段錯誤
當您在由識別資訊提供者 (IdP) 或服務供應商 (SP) 初始化的流程中嘗試執行 SAML 單一登入 (SSO) 流程時,可能會遇到下列錯誤情形:
403 app_not_configured (未設定應用程式)
這個錯誤可能在下列情況中發生:
-
在由 SP 初始化的流程中,要求中提到了實體 ID,但您尚未在管理控制台中建立對應的應用程式。
- 在由 SP 初始化的流程中,SAMLRequest 中提供的實體 ID 與所有目前安裝的應用程式的實體 ID 都不相符。如果由 IdP 初始化的網址中提到的應用程式 ID (SP ID) 遭到竄改,系統就會顯示
app_not_configured錯誤訊息。
如何解決「403 app_not_configured」(未設定應用程式) 錯誤:
- 確定與要求中提到的實體 ID 對應的應用程式已安裝,再發出要求。
- 確定 SAMLRequest 中提供的實體 ID 正確,並且符合您在建立應用程式時指定的實體 ID。
- 確定要求網址中傳遞的 SP ID 與 app_not_enabled 錯誤訊息中的應用程式 ID 相同。
403 app_not_configured_for_user (尚未為使用者設定應用程式)
如何解決「403 app_not_configured_for_user」(尚未為使用者設定應用程式) 錯誤:
確認 SAMLRequest 中 saml:Issuer 標記的值與管理控制台 SAML「服務供應商詳細資訊」部分所設定的「實體 ID」值相符。這個值會區分大小寫。
403 app_not_enabled_for_user (尚未為使用者啟用應用程式)
如何解決「403 app_not_enabled_for_user」(尚未為使用者啟用應用程式) 錯誤:
-
-
在管理控制台中,依序點選「選單」圖示
「應用程式」
「網頁和行動應用程式」。
- 在應用程式清單中,找出產生錯誤的 SAML 應用程式。
- 按一下這個應用程式,開啟設定該應用程式的設定頁面。
- 按一下 [使用者存取權]。
- 針對使用者的機構,將這個應用程式設為 [為所有人啟用]。
400 saml_invalid_user_id_mapping (SAML 使用者 ID 對應無效)
如果 SP 在 SAMLRequest 中傳遞 NAMEID 參數,該參數與 IdP 端設定的參數必須相同,否則 SAMLRequest 會因這個錯誤而失敗。
如何解決「400 saml_invalid_user_id_mapping」(SAML 使用者 ID 對應無效) 錯誤:
- 前往「基本資料」檢查 NAMEID 參數。
- 確定 SAMLRequest 中傳遞的 NAMEID 參數與 IdP 端設定的參數相同。
400 saml_invalid_sp_id (SAML SP ID 無效)
如果 IdP 流程中網址的服務供應商 ID 不正確,系統就會傳回這個錯誤訊息,因為網址可能設定錯誤或遭到竄改。
如何解決「400 saml_invalid_sp_id」(SAML SP ID 無效) 錯誤:
-
前往「基本資料」檢查 [app-id] 欄位。
-
確定要求網址中傳遞的 SP ID 與 [app-id] 欄位中的應用程式 ID 相同。
在下列情形下,SAML 回應會傳回 DENIED (拒絕) 狀態。您可能看到下列三則相關錯誤訊息的其中之一。
SP-initiated Flow Invalid request, ACS URL in request $parameter doesn't match configured ACS URL $parameter. ([由 SP 初始化的流程] 要求無效:要求 $parameter 中的 ACS 網址與設定的 ACS 網址 $parameter 不符。)
在此情況下,SAMLRequest 中指定的 ACS 網址與您在管理控制台中為對應的應用程式所設定的 ACS 網址不符。
如何解決「ACS URL in request $parameter doesn't match configured ACS URL $parameter」(要求 $parameter 中的 ACS 網址與設定的 ACS 網址 $parameter 不符) 錯誤:
-
前往「服務供應商詳細資訊」。
-
檢查其中的 ACS 網址是否與 SAMLRequest 中的 ACS 網址相同。
Invalid idpid provided in the url (網址中提供的 IdP ID 無效)
網址中提供的 IdP ID (經過模糊處理的客戶 ID) 遭到竄改,因此不正確。
如何解決「invalid IdP ID in URL」(網址中提供的 IdP ID 無效) 錯誤:
-
依序前往 [安全性]
-
取得實體 ID 網址末端的 idpid 字串。
- 確定要求網址中的 IdP ID 與實體 ID 網址中的 IdP ID 相同。
IdP-initiated Flow Invalid idpid provided in the request. ([由 IdP 初始化的流程] 要求中提供的 IdP ID 無效。)
呼叫端使用者竄改了由 IdP 初始化的 SSO 網址,並且將 IdP ID 變更為其他客戶 ID (經過模糊處理)。
如何解決「invalid IdP ID in request」(要求中的 IdP ID 無效) 錯誤:
-
依序前往 [安全性]
-
取得實體 ID 網址末端的 idpid 字串。
- 確定要求網址中的 IdP ID 與實體 ID 網址中的 IdP ID 相同。
500 SAML SSO 流程測試錯誤
使用者在由 IdP 或 SP 初始化的流程中執行 SAML SSO 流程測試時,可能會因後端處理程序無法使用而遇到其中一種 500 錯誤。
如何解決 500 SAML SSO 流程測試錯誤:
請稍候片刻再重新執行流程。如果問題仍然無法解決,請與 Google Cloud 支援小組聯絡。
SAML 應用程式存取錯誤訊息
1000 on access of SAML app page (無法存取 SAML 應用程式頁面)
如何解決 SAML 應用程式頁面存取錯誤:
與 Google Cloud 支援團隊聯絡。
1000 on access of SAML app settings (無法存取 SAML 應用程式設定)
如何解決 SAML 應用程式設定存取錯誤:
與 Google Cloud 支援團隊聯絡。
SAML 應用程式使用者架構刪除錯誤訊息
400
當您嘗試刪除自訂架構時,如果與該架構相關聯的屬性是對應至已刪除的 SAML 應用程式,就會發生這個錯誤。如果您沒有先修正問題就建立架構,便會發生這個錯誤。
如何解決 SAML 應用程式使用者架構刪除錯誤:
與 Google Cloud 支援團隊聯絡。