Fehlerbehebung bei Single Sign-On (SSO)
Dieses Dokument enthält Schritte zur Behebung häufiger Fehlermeldungen, die während der Integration oder Verwendung von SAML-basiertem Single Sign-On (SSO) mit Google Workspace auftreten, wenn Google der Dienstanbieter (SP) ist.
Konfiguration und Aktivierung
"Diese Domäne ist nicht für die Verwendung von Single Sign-On konfiguriert."Dieser Fehler weist normalerweise darauf hin, dass Sie versuchen, die einmalige Anmeldung mit einer (kostenlosen) Standard-Edition der G Suite zu verwenden, die SSO nicht unterstützt. Wenn Sie sicher sind, dass Sie eine Google Workspace-Edition verwenden, die SSO unterstützt, überprüfen Sie die Konfiguration bei Ihrem Identitätsanbieter, um sicherzustellen, dass Sie Ihren Google Workspace-Domainnamen richtig eingegeben haben.
Dieser Fehler weist darauf hin, dass Sie SSO in der Google Admin-Konsole nicht richtig eingerichtet haben. Bitte überprüfen Sie die folgenden Schritte, um die Situation zu korrigieren:
- Gehen Sie in der Admin-Konsole zu Sicherheit
Richten Sie Single Sign-On (SSO) mit einem Drittanbieter-IdP ein und aktivieren Sie das Kontrollkästchen SSO mit Drittanbieter-Identitätsanbieter einrichten .
- Geben Sie in den entsprechenden Feldern URLs für die Anmeldeseite, die Abmeldeseite und die Seite zum Ändern des Passworts Ihrer Organisation an.
- Wählen Sie eine gültige Verifizierungszertifikatsdatei aus und laden Sie sie hoch.
- Klicken Sie auf Speichern , warten Sie einige Minuten, bis Ihre Änderungen wirksam werden, und testen Sie Ihre Integration erneut.
Richten Sie Single Sign-On (SSO) mit einem Drittanbieter-IdP ein und aktivieren Sie das Kontrollkästchen SSO mit Drittanbieter-Identitätsanbieter einrichten .Analysieren der SAML-Antwort
"Der erforderliche Antwortparameter SAMLResponse fehlte"Diese Fehlermeldung weist darauf hin, dass Ihr Identitätsanbieter Google keine gültige SAML-Antwort liefert. Dieses Problem ist mit ziemlicher Sicherheit auf ein Konfigurationsproblem im Identitätsanbieter zurückzuführen.
- Überprüfen Sie die Protokolle Ihres Identitätsanbieters und stellen Sie sicher, dass nichts daran hindert, eine SAML-Antwort korrekt zurückzugeben.
- Stellen Sie sicher, dass Ihr Identitätsanbieter keine verschlüsselte SAML-Antwort an Google Workspace sendet. Google Workspace akzeptiert nur unverschlüsselte SAML-Antworten. Beachten Sie insbesondere, dass die Active Directory Federation Services 2.0 von Microsoft in Standardkonfigurationen häufig verschlüsselte SAML-Antworten senden.
Die SAML 2.0-Spezifikation erfordert, dass Identitätsanbieter einen RelayState- URL-Parameter von Ressourcenanbietern (z. B. Google Workspace) abrufen und zurücksenden. Google Workspace stellt diesen Wert dem Identitätsanbieter in der SAML-Anfrage bereit, und die genauen Inhalte können sich bei jeder Anmeldung unterscheiden. Damit die Authentifizierung erfolgreich abgeschlossen werden kann, muss der genaue RelayState in der SAML-Antwort zurückgegeben werden. Gemäß der SAML-Standardspezifikation sollte Ihr Identitätsanbieter den RelayState während des Anmeldeflusses nicht ändern.
- Diagnostizieren Sie dieses Problem weiter, indem Sie während eines Anmeldeversuchs HTTP-Header erfassen. Extrahieren Sie den RelayState aus den HTTP-Headern mit der SAML-Anfrage und -Antwort und stellen Sie sicher, dass die RelayState- Werte in Anfrage und Antwort übereinstimmen.
- Die meisten handelsüblichen oder Open-Source-SSO-Identitätsanbieter übertragen den RelayState standardmäßig nahtlos. Für optimale Sicherheit und Zuverlässigkeit empfehlen wir Ihnen, eine dieser vorhandenen Lösungen zu verwenden, und können keinen Support für Ihre eigene benutzerdefinierte SSO-Software anbieten.
Inhalt der SAML-Antwort
"Auf diesen Dienst kann nicht zugegriffen werden, da Ihre Anmeldeanfrage ungültige [Ziel|Zielgruppe|Empfänger]-Informationen enthielt. Bitte melden Sie sich an und versuchen Sie es erneut."Dieser Fehler weist darauf hin, dass die Elemente destination , audience oder receiver in der SAML-Assertion ungültige Informationen enthielten oder leer waren. Alle Elemente müssen in der SAML-Assertion enthalten sein. In der folgenden Tabelle finden Sie Beschreibungen und Beispiele für jedes Element.
| Element | <Publikum> |
|---|---|
| Beschreibung | URI, der die beabsichtigte Zielgruppe identifiziert, die den Wert von ACS-URI erfordert. Hinweis: Der Elementwert darf nicht leer sein |
| Erforderlicher Wert | https://www.google.com/a/<example.com>/acs |
| Beispiel | <saml:Conditions NotBefore="2014-11-05T17:31:37Z" |
| Element | Zielattribut vom Typ <StatusResponseType> |
|---|---|
| Beschreibung | URI, an die die SAML-Assertion gesendet wird. Optional, aber wenn deklariert, wird ein Wert des ACS-URI benötigt. |
| Erforderlicher Wert | https://www.google.com/a/<example.com>/acs |
| Beispiel | <saml:Antwort |
| Element | Empfängerattribut von <SubjectConfirmationData> |
|---|---|
| Beschreibung |
|
| Erforderlicher Wert | https://www.google.com/a/<example.com>/acs |
| Beispiel | <saml:Betreff> |
Einzelheiten zu allen erforderlichen Elementen finden Sie im Artikel SSO-Assertion-Anforderungen.
Dieser Fehler weist normalerweise darauf hin, dass die SAML-Antwort Ihres Identitätsanbieters keinen lesbaren Empfängerwert hat (oder dass der Empfängerwert falsch ist). Der Empfängerwert ist ein wichtiger Bestandteil der SAML-Antwort.
- Diagnostizieren Sie dieses Problem weiter, indem Sie während eines Anmeldeversuchs HTTP-Header erfassen.
- Extrahieren Sie die SAML-Anforderung und -Antwort aus den HTTP-Headern.
- Stellen Sie sicher, dass der Empfängerwert in der SAML-Antwort vorhanden ist und mit dem Wert in der SAML-Anforderung übereinstimmt.
Hinweis: Diese Fehlermeldung kann auch als „Auf diesen Dienst kann nicht zugegriffen werden, da Ihre Anmeldeanfrage ungültige Empfängerinformationen enthielt. Bitte melden Sie sich an und versuchen Sie es erneut" erscheinen.
Dieser Fehler weist auf ein Problem mit den Zertifikaten hin, die Sie zum Signieren des Authentifizierungsablaufs verwenden. Dies bedeutet normalerweise, dass der private Schlüssel, der zum Signieren der SAML-Antwort verwendet wird, nicht mit dem öffentlichen Schlüsselzertifikat übereinstimmt, das Google Workspace hinterlegt hat.
Es kann auch auftreten, wenn Ihre SAML-Antwort keinen gültigen Nutzernamen für Google-Konten enthält. Google Workspace parst die SAML-Antwort nach einem XML-Element namens NameID und erwartet, dass dieses Element einen Google Workspace-Nutzernamen oder eine vollständige Google Workspace-E-Mail-Adresse enthält.
- Stellen Sie sicher, dass Sie ein gültiges Zertifikat in Google Workspace hochgeladen haben, und ersetzen Sie ggf. das Zertifikat. Gehen Sie in der Google Admin-Konsole zu Sicherheit
- Wenn Sie eine vollständige E-Mail-Adresse in Ihrem NameID- Element verwenden (dies muss der Fall sein, wenn Sie SSO mit einer Multidomain-Apps-Umgebung verwenden), stellen Sie sicher, dass das Format -Attribut des NameID- Elements angibt, dass eine vollständige E-Mail-Adresse verwendet werden soll, wie im folgenden Beispiel: Format="urn:oasis:names:tc:SAML:2.0:nameid-format:email"
- Stellen Sie sicher, dass Sie das NameID- Element mit einem gültigen Benutzernamen oder einer gültigen E-Mail-Adresse füllen. Um sicherzugehen, extrahieren Sie die SAML-Antwort, die Sie an Google Workspace senden, und überprüfen Sie den Wert des NameID- Elements.
- Bei NameID wird zwischen Groß- und Kleinschreibung unterschieden: Stellen Sie sicher, dass die SAML-Antwort NameID mit einem Wert füllt, der mit der Groß- und Kleinschreibung des Google Workspace-Nutzernamens oder der E-Mail-Adresse übereinstimmt.
- Wenn Ihr Identitätsanbieter Ihre SAML-Zusicherung verschlüsselt, deaktivieren Sie die Verschlüsselung.
- Stellen Sie sicher, dass die SAML-Antwort keine Nicht-Standard- ASCII -Zeichen enthält. Dieses Problem tritt am häufigsten in den Attributen DisplayName, GivenName und Surname im AttributeStatement auf, zum Beispiel:
- <Attributname="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue> </Attribute> - <Attributname="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue> </Attribute>
- <Attributname="http://schemas.microsoft.com/identity/claims/displayname">
Weitere Informationen zum Formatieren des NameID- Elements finden Sie unter SSO -Zusicherungsanforderungen .
Aus Sicherheitsgründen muss der SSO-Anmeldeablauf innerhalb eines bestimmten Zeitrahmens abgeschlossen werden, oder die Authentifizierung schlägt fehl. Wenn die Uhr Ihres Identitätsanbieters falsch ist, scheinen die meisten oder alle Anmeldeversuche außerhalb des akzeptablen Zeitrahmens zu liegen, und die Authentifizierung schlägt mit der obigen Fehlermeldung fehl.
- Überprüfen Sie die Uhr auf dem Server Ihres Identitätsanbieters. Dieser Fehler wird fast immer durch eine falsche Uhr des Identitätsanbieters verursacht, wodurch der SAML-Antwort falsche Zeitstempel hinzugefügt werden.
- Synchronisieren Sie die Serveruhr des Identitätsanbieters erneut mit einem zuverlässigen Internet-Zeitserver. Wenn dieses Problem plötzlich in einer Produktionsumgebung auftritt, liegt dies normalerweise daran, dass die letzte Synchronisierung fehlgeschlagen ist, wodurch die Serverzeit ungenau wird. Eine Wiederholung der Zeitsynchronisierung (möglicherweise mit einem zuverlässigeren Zeitserver) wird dieses Problem schnell beheben.
- Dieses Problem kann auch auftreten, wenn Sie SAML von einem vorherigen Anmeldeversuch erneut senden. Die Untersuchung Ihrer SAML-Anforderung und -Antwort (aus HTTP-Header-Protokollen, die während eines Anmeldeversuchs erfasst wurden) kann Ihnen dabei helfen, dies weiter zu debuggen.
Aus Sicherheitsgründen muss der SSO-Anmeldefluss innerhalb eines bestimmten Zeitrahmens abgeschlossen werden, oder die Authentifizierung schlägt fehl. Wenn die Uhr Ihres Identitätsanbieters falsch ist, scheinen die meisten oder alle Anmeldeversuche außerhalb des akzeptablen Zeitrahmens zu liegen, und die Authentifizierung schlägt mit der obigen Fehlermeldung fehl.
- Überprüfen Sie die Uhr auf dem Server Ihres Identitätsanbieters. Dieser Fehler wird fast immer durch eine falsche Uhr des Identitätsanbieters verursacht, wodurch der SAML-Antwort falsche Zeitstempel hinzugefügt werden.
- Synchronisieren Sie die Serveruhr des Identitätsanbieters erneut mit einem zuverlässigen Internet-Zeitserver. Wenn dieses Problem plötzlich in einer Produktionsumgebung auftritt, liegt dies normalerweise daran, dass die letzte Synchronisierung fehlgeschlagen ist, wodurch die Serverzeit ungenau wird. Eine Wiederholung der Zeitsynchronisierung (möglicherweise mit einem zuverlässigeren Zeitserver) wird dieses Problem schnell beheben.
No comments:
Post a Comment