Problemen met single sign-on (SSO) oplossen

"Dit domein is niet geconfigureerd voor single sign-on."

Deze foutmelding geeft doorgaans aan dat u een versie van Google Workspace gebruikt die geen SSO ondersteunt (zoals de oude gratis versie van G Suite). Alle huidige Workspace-versies ondersteunen SSO via een identiteitsprovider van derden.

Als je een Google Workspace-editie gebruikt die SSO ondersteunt, probeer dan deze andere oplossingen:

• Controleer of de SSO-configuratie van uw identiteitsprovider de juiste Google Workspace-domeinnaam gebruikt.
• Als u deze foutmelding krijgt na het instellen van SSO-profielen , is uw identiteitsprovider (IdP) mogelijk geconfigureerd om de SAML-assertie naar het oude SSO-profiel-eindpunt te sturen. Als uw IdP het oude SSO-eindpunt hardcoded heeft, ga dan als volgt te werk:
  1. Legacy SSO instellen.
  2. Vraag uw IdP-leverancier om hun Google-integratie bij te werken.

"Toegang tot dit account is niet mogelijk omdat het domein onjuist is geconfigureerd. Probeer het later opnieuw."

Deze foutmelding geeft aan dat u SSO niet correct hebt ingesteld in de Google Admin-console. Volg de onderstaande stappen om dit probleem op te lossen:

1. Ga in de beheerdersconsole naar Beveiliging. Stel single sign-on (SSO) in met een externe identiteitsprovider en vink 'SSO instellen met een externe identiteitsprovider' aan .
2. Vul in de daarvoor bestemde velden de URL's in van de aanmeldpagina, de afmeldpagina en de pagina voor het wijzigen van het wachtwoord van uw organisatie.
3. Selecteer en upload een geldig verificatiecertificaatbestand .
4. Klik op Opslaan , wacht een paar minuten tot de wijzigingen zijn doorgevoerd en test de integratie opnieuw.

Google-tenant geconfigureerd met verboden voorvoegsel

Bij iOS-applicaties wordt de Google iOS-app doorgestuurd naar Safari wanneer de URL van de SSO-aanmeldingspagina begint met "google." (of een variant daarvan). Hierdoor mislukt het SSO-proces. De volledige lijst met verboden voorvoegsels is:

• Google.
• Google.
• www.google.
• www.google.

Je moet alle URL's van SSO-aanmeldingspagina's die deze voorvoegsels bevatten, wijzigen.

"De vereiste responsparameter SAMLResponse ontbrak."

Deze foutmelding geeft aan dat uw identiteitsprovider geen geldig SAML-antwoord aan Google verstrekt. Dit probleem wordt vrijwel zeker veroorzaakt door een configuratiefout bij de identiteitsprovider.

• Controleer de logboeken van uw identiteitsprovider en zorg ervoor dat er niets is dat verhindert dat deze een correcte SAML-respons retourneert.
• Zorg ervoor dat uw identiteitsprovider geen versleutelde SAML-reactie naar Google Workspace verzendt. Google Workspace accepteert alleen onversleutelde SAML-reacties. Houd er met name rekening mee dat Microsoft Active Directory Federation Services 2.0 in de standaardconfiguratie vaak versleutelde SAML-reacties verzendt.

"De vereiste responsparameter RelayState ontbrak."

De SAML 2.0-specificatie vereist dat identiteitsproviders een RelayState -URL-parameter ophalen en terugsturen van resourceproviders (zoals Google Workspace). Google Workspace geeft deze waarde door aan de identiteitsprovider in het SAML-verzoek, en de exacte inhoud kan per aanmelding verschillen. Om de authenticatie succesvol te laten verlopen, moet de exacte RelayState in het SAML-antwoord worden teruggestuurd. Volgens de SAML-standaardspecificatie mag uw identiteitsprovider de RelayState niet wijzigen tijdens het aanmeldingsproces.

• Diagnoseer dit probleem verder door HTTP-headers vast te leggen tijdens een inlogpoging. Extraheer de RelayState uit de HTTP-headers van zowel het SAML-verzoek als -antwoord en zorg ervoor dat de RelayState- waarden in het verzoek en het antwoord overeenkomen.
• De meeste commercieel verkrijgbare of open-source SSO-identiteitsproviders verzenden de RelayState standaard naadloos. Voor optimale beveiliging en betrouwbaarheid raden we aan om een ​​van deze bestaande oplossingen te gebruiken. We kunnen geen ondersteuning bieden voor uw eigen, op maat gemaakte SSO-software.

"Deze service is niet toegankelijk omdat uw inlogverzoek ongeldige [bestemming|doelgroep|ontvanger]-gegevens bevatte. Log opnieuw in en probeer het nogmaals."

Deze foutmelding geeft aan dat de elementen destination , audience of recipient in de SAML-assertie ongeldige informatie bevatten of leeg waren. Alle elementen moeten in de SAML-assertie worden opgenomen. Raadpleeg de volgende tabellen in de SSO-assertievereisten voor beschrijvingen en voorbeelden van elk element:

• Gebruik elementen en attributen—SSO-profielen
• Gebruik elementen en attributen – verouderd SSO-profiel

"U hebt geen toegang tot deze service omdat uw inlogverzoek geen ontvangersinformatie bevatte. Log opnieuw in en probeer het nogmaals."

Deze foutmelding geeft meestal aan dat het SAML-antwoord van uw identiteitsprovider geen leesbare ontvangerwaarde bevat (of dat de ontvangerwaarde onjuist is). De ontvangerwaarde is een belangrijk onderdeel van het SAML-antwoord.

1. Stel de oorzaak van dit probleem vast door de HTTP-headers tijdens een inlogpoging te registreren.
2. Extraheer het SAML-verzoek en -antwoord uit de HTTP-headers.
3. Zorg ervoor dat de waarde van 'Recipient' in het SAML-antwoord bestaat en overeenkomt met de waarde in het SAML-verzoek.

Opmerking: Deze foutmelding kan ook verschijnen als "Deze service is niet toegankelijk omdat uw aanmeldingsverzoek ongeldige ontvangersgegevens bevatte. Meld u opnieuw aan en probeer het nogmaals."

"Toegang tot dit account is niet mogelijk omdat de inloggegevens niet konden worden geverifieerd."

Deze foutmelding duidt op een probleem met de certificaten die u gebruikt om de authenticatiestroom te ondertekenen. Meestal betekent dit dat de privésleutel die wordt gebruikt om het SAML-antwoord te ondertekenen, niet overeenkomt met het openbare sleutelcertificaat dat Google Workspace heeft opgeslagen.

Dit kan ook gebeuren als uw SAML-antwoord geen geldige gebruikersnaam voor Google Accounts bevat. Google Workspace analyseert het SAML-antwoord op een XML-element genaamd NameID en verwacht dat dit element een gebruikersnaam voor Google Workspace of een volledig e-mailadres van Google Workspace bevat.

• Zorg ervoor dat u een geldig certificaat naar Google Workspace hebt geüpload en vervang het certificaat indien nodig. Ga in de Google-beheerconsole naar Beveiliging. Stel single sign-on (SSO) in met een externe identiteitsprovider en klik op Certificaat vervangen .
• Als u een volledig e-mailadres gebruikt in uw NameID- element (dit is noodzakelijk als u SSO gebruikt met een Apps-omgeving met meerdere domeinen), zorg er dan voor dat het Format- attribuut van het NameID- element aangeeft dat een volledig e-mailadres moet worden gebruikt, zoals in het volgende voorbeeld: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
• Zorg ervoor dat u het element NameID invult met een geldige gebruikersnaam of e-mailadres. Om dit te controleren, kunt u het SAML-antwoord dat u naar Google Workspace verzendt extraheren en de waarde van het element NameID controleren.
• NameID is hoofdlettergevoelig: zorg ervoor dat de SAML-respons NameID vult met een waarde die overeenkomt met de hoofdlettergevoeligheid van de Google Workspace-gebruikersnaam of het e-mailadres.
• Als uw identiteitsprovider uw SAML-assertie versleutelt, schakel dan de versleuteling uit.
• Zorg ervoor dat het SAML-antwoord geen niet-standaard ASCII- tekens bevat. Dit probleem doet zich het vaakst voor in de attributen DisplayName, GivenName en Surname in de AttributeStatement, bijvoorbeeld:
  • <Attribuutnaam="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
  • <Attribuutnaam="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
    <AttributeValue>Blüte</AttributeValue> </Attribute>

Voor meer informatie over het formatteren van het NameID- element, zie de vereisten voor SSO-asserties .

"U hebt geen toegang tot deze service omdat uw inloggegevens zijn verlopen. Log opnieuw in en probeer het nogmaals."

Om veiligheidsredenen moet het SSO-aanmeldingsproces binnen een bepaalde tijdspanne worden voltooid, anders mislukt de authenticatie. Als de klok van uw identiteitsprovider onjuist is, lijken de meeste of alle aanmeldingspogingen buiten de acceptabele tijdspanne te vallen en mislukt de authenticatie met bovenstaande foutmelding.

• Controleer de klok op de server van uw identiteitsprovider. Deze fout wordt bijna altijd veroorzaakt doordat de klok van de identiteitsprovider niet correct is, waardoor onjuiste tijdstempels aan het SAML-antwoord worden toegevoegd.
• Synchroniseer de klok van de Identity Provider-server opnieuw met een betrouwbare internettijdserver. Wanneer dit probleem zich plotseling voordoet in een productieomgeving, komt dit meestal doordat de laatste tijdsynchronisatie is mislukt, waardoor de servertijd onjuist is geworden. Door de tijdsynchronisatie te herhalen (eventueel met een betrouwbaardere tijdserver) wordt dit probleem snel verholpen.
• Dit probleem kan zich ook voordoen als u SAML-verzoeken van een eerdere inlogpoging opnieuw verzendt. Het onderzoeken van uw SAML-verzoek en -antwoord (verkregen uit HTTP-headerlogboeken die tijdens een inlogpoging zijn vastgelegd) kan u helpen dit verder op te sporen.

"U hebt geen toegang tot deze service omdat uw inloggegevens nog niet geldig zijn. Log in en probeer het opnieuw."

Om veiligheidsredenen moet het SSO-aanmeldingsproces binnen een bepaalde tijdspanne worden voltooid, anders mislukt de authenticatie. Als de klok van uw identiteitsprovider onjuist is, lijken de meeste of alle aanmeldingspogingen buiten de acceptabele tijdspanne te vallen en mislukt de authenticatie met bovenstaande foutmelding.

• Controleer de klok op de server van uw identiteitsprovider. Deze fout wordt bijna altijd veroorzaakt doordat de klok van de identiteitsprovider niet correct is, waardoor onjuiste tijdstempels aan het SAML-antwoord worden toegevoegd.
• Synchroniseer de klok van de Identity Provider-server opnieuw met een betrouwbare internettijdserver. Wanneer dit probleem zich plotseling voordoet in een productieomgeving, komt dit meestal doordat de laatste tijdsynchronisatie is mislukt, waardoor de servertijd onjuist is geworden. Door de tijdsynchronisatie te herhalen (eventueel met een betrouwbaardere tijdserver) wordt dit probleem snel verholpen.