SAML 审核日志

查看用户登录 SAML 应用的成功和失败情况

您可以使用 SAML 审核日志跟踪用户登录 SAML 应用的成功和失败情况。系统通常会在用户操作后 1 小时内显示相关条目。

打开 SAML 审核日志

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到报告
  3. 在左侧的审核日志下方,点击 SAML
  4. (可选)要自定义系统显示的数据,请点击右侧的“管理列”图标 ""。选择您希望显示或隐藏的列,并执行相应操作 接着点击 点击保存

  5. (可选)查看过滤和导出日志数据以及创建提醒的方法。

可查看的数据

SAML 审核日志包含以下信息:

数据类型 说明
事件说明 “事件名称”字段中所描述的事件详细信息
事件名称 系统会记录两类事件:成功登录和失败的登录尝试
用户 触发事件的用户的电子邮件地址或名称
应用名称 发起事件的 SAML 应用
单位名称 用户所在的单位
发起者 发起事件的提供商。可以是身份提供商或服务提供商。
失败类型 对于失败的登录尝试,系统会显示失败类型。如需了解详情,请转到下方的失败类型
响应状态/
二级状态
SAML 请求成功或失败的状态信息。有关状态代码的详细信息,请参阅 SAML v2.0 Core 的第 3.2.2.2 节
IP 地址 用户用于登录 SAML 应用的互联网协议 (IP) 地址。该 IP 地址可能会反映管理员的实际位置,但也可能不会。例如,它也可能是代理服务器地址或虚拟专用网 (VPN) 地址。
日期 事件发生的日期和时间(以您浏览器的默认时区显示)

失败类型和解决方案

审核日志中会记录以下失败类型:

失败类型 解决方案
尚未配置应用 请确认是否已在管理控制台中正确配置服务提供商设置(包括实体 ID)
尚未为用户启用应用 请在管理控制台相应应用的设置页面,确认是否已在“用户访问权限”部分为用户所在单位启用该应用
名称 ID 映射无效 这表示应用中的 NAMEID 参数与在管理控制台应用设置中配置的不相符。请检查对应的架构是否依然存在,然后为应用重新配置 NAMEID 映射。
名称 ID 映射不可用 这表示系统找不到 NAMEID 映射对应的映射属性。作为管理员,请检查对应的架构是否依然存在,然后为应用重新配置 NAMEID 映射。
服务提供商 ID 无效 请检查在服务提供商一端的配置是否与在管理控制台中配置的应用 ID 字段一致。确保请求网址中传送的 SP ID 与应用 ID 相同。
错误请求 这表示请求格式不正确,或请求中的 ACS 网址与管理控制台中配置的网址不匹配。请检查服务提供商的 ACS 网址配置是否正确。
被动身份验证失败 这表示用户无法登录身份提供商 (IdP) 网站。通过浏览器重新登录身份提供商 (IdP) 网站。
用户未获得授权 请确认是否已为用户所在的单位或群组启用相应应用
未知 未知原因导致登录失败

按事件名称或失败类型过滤日志

  1. 点击添加过滤条件
  2. 点击事件名称
  3. 选择登录失败成功登录
  4. (可选)如果选择“登录失败”,您还可以选择失败类型过滤条件。
  5. 点击应用

在您设置的时间范围内,每发生一次所选事件,系统便会创建相应的日志条目,而审核日志将显示这些条目。

何时可以查看数据?数据会保留多久?

请参阅数据保留时间和延迟时间

相关主题

该内容对您有帮助吗?
您有什么改进建议?
搜索
清除搜索查询
关闭搜索框
Google 应用
主菜单
搜索支持中心
false