Felsök enkel inloggning (SSO)

"Den här domänen är inte konfigurerad för att använda enkel inloggning."

Det här felet indikerar vanligtvis att du använder en version av Google Workspace som inte stöder SSO (till exempel den äldre gratisversionen av G Suite). Alla nuvarande Workspace-utgåvor stöder SSO via en tredjeparts identitetsleverantör (IdP).

Om du använder en Google Workspace-utgåva som stöder SSO kan du prova dessa andra lösningar:

• Kontrollera att din IdP:s SSO-konfiguration använder rätt Google Workspace-domännamn.
• Om du får det här felet efter att du har konfigurerat SSO-profiler kan din IdP vara konfigurerad att skicka SAML-intyget till den äldre SSO-profilens slutpunkt. Om din IdP har den äldre SSO-slutpunkten hårdkodad gör du följande:
  1. Konfigurera äldre SSO .
  2. Be din IdP-leverantör att uppdatera sin Google-integration.

"Det går inte att komma åt det här kontot eftersom domänen är felaktigt konfigurerad. Försök igen senare."

Det här felet indikerar att du inte har konfigurerat SSO korrekt i Googles administratörskonsol. Granska följande steg för att åtgärda situationen:

1. I administratörskonsolen, gå till Säkerhet Konfigurera enkel inloggning (SSO) med en tredjeparts-IdP och markera Konfigurera SSO med tredjeparts-identitetsleverantör .
2. Ange webbadresser till organisationens inloggningssida, utloggningssida och lösenordssida i motsvarande fält.
3. Välj och ladda upp en giltig verifieringscertifikatfil .
4. Klicka på Spara , vänta några minuter tills dina ändringar träder i kraft och testa integrationen igen.

Google-hyresgäst konfigurerad med förbjudet prefix

Med iOS-applikationer, när URL:en för SSO-inloggningssidan börjar med "google" (eller någon variant), omdirigeras Google iOS-appen till Safari. Detta gör att SSO-processen misslyckas. Den fullständiga listan över förbjudna prefix är:

• googla.
• google.
• www.google.com
• www.google.

Du måste ändra alla URL:er för SSO-inloggningssidor som har dessa prefix.

"Den obligatoriska svarsparametern SAMLResponse saknades"

Det här felmeddelandet indikerar att din identitetsleverantör inte förser Google med ett giltigt SAML-svar av något slag. Problemet beror nästan säkert på ett konfigurationsproblem i identitetsleverantören.

• Kontrollera dina identitetsleverantörsloggar och se till att det inte finns något som hindrar den från att returnera ett SAML-svar korrekt.
• Se till att din identitetsleverantör inte skickar ett krypterat SAML-svar till Google Workspace. Google Workspace accepterar endast SAML-svar som är okrypterade. Observera särskilt att Microsofts Active Directory Federation Services 2.0 ofta skickar krypterade SAML-svar i standardkonfigurationer.

"Den obligatoriska svarsparametern RelayState saknades"

SAML 2.0-specifikationen kräver att identitetsleverantörer hämtar och skickar tillbaka en RelayState URL-parameter från resursleverantörer (som Google Workspace). Google Workspace tillhandahåller detta värde till identitetsleverantören i SAML-begäran, och det exakta innehållet kan skilja sig åt vid varje inloggning. För att autentiseringen ska slutföras måste den exakta RelayState returneras i SAML-svaret. Enligt SAML-standardspecifikationen bör din identitetsleverantör inte ändra RelayState under inloggningsflödet.

• Diagnostisera problemet ytterligare genom att samla in HTTP-rubriker under ett inloggningsförsök. Extrahera RelayState från HTTP-rubrikerna med både SAML-begäran och -svaret, och se till att RelayState- värdena i begäran och svaret matchar.
• De flesta kommersiellt tillgängliga eller öppna SSO-identitetsleverantörer överför RelayState sömlöst som standard. För optimal säkerhet och tillförlitlighet rekommenderar vi att du använder en av dessa befintliga lösningar och vi kan inte erbjuda support för din egen anpassade SSO-programvara.

"Den här tjänsten kan inte nås eftersom din inloggningsförfrågan innehöll ogiltig information för [destination|målgrupp|mottagare]. Logga in och försök igen."

Det här felet indikerar att elementen destination , audience eller recipient i SAML-kontrollen innehöll ogiltig information eller var tomma. Alla element måste inkluderas i SAML-kontrollen. Kontrollera följande tabeller i SSO-kontrollkrav för beskrivningar och exempel för varje element:

• Använd element och attribut – SSO-profiler
• Använd element och attribut – äldre SSO-profil

"Den här tjänsten kan inte nås eftersom din inloggningsförfrågan inte innehöll någon mottagarinformation. Vänligen logga in och försök igen."

Det här felet indikerar vanligtvis att SAML-svaret från din identitetsleverantör saknar ett läsbart Recipient- värde (eller att Recipient- värdet är felaktigt). Recipient- värdet är en viktig komponent i SAML-svaret.

1. Diagnostisera problemet ytterligare genom att samla in HTTP-rubriker under ett inloggningsförsök.
2. Extrahera SAML-begäran och -svaret från HTTP-rubrikerna.
3. Se till att mottagarvärdet i SAML-svaret finns och att det matchar värdet i SAML-begäran.

Obs! Det här felmeddelandet kan också visas som "Den här tjänsten kan inte nås eftersom din inloggningsförfrågan innehöll ogiltig mottagarinformation. Logga in och försök igen."

"Det går inte att komma åt det här kontot eftersom inloggningsuppgifterna inte kunde verifieras."

Det här felet indikerar ett problem med certifikaten du använder för att signera autentiseringsflödet. Det betyder vanligtvis att den privata nyckeln som används för att signera SAML-svaret inte matchar det offentliga nyckelcertifikat som Google Workspace har registrerat.

Det kan också inträffa om ditt SAML-svar inte innehåller ett giltigt användarnamn för Google-konton. Google Workspace analyserar SAML-svaret för ett XML-element som kallas NameID och förväntar sig att detta element innehåller ett Google Workspace-användarnamn eller en fullständig Google Workspace-e-postadress.

• Se till att du har laddat upp ett giltigt certifikat till Google Workspace och byt ut certifikatet om det behövs. Gå till Säkerhet i Googles administratörskonsol. Konfigurera enkel inloggning (SSO) med en tredjeparts-IdP och klicka på Ersätt certifikat .
• Om du använder en fullständig e-postadress i ditt NameID- element (du måste göra det om du använder SSO med en multidomain Apps-miljö), se till att Format- attributet för NameID- elementet anger att en fullständig e-postadress ska användas, som i följande exempel: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
• Se till att du fyller i NameID- elementet med ett giltigt användarnamn eller en giltigt e-postadress. För att vara säker, extrahera SAML-svaret du skickar till Google Workspace och kontrollera värdet på NameID -elementet.
• NameID är skiftlägeskänsligt: ​​se till att SAML-svaret fyller i NameID med ett värde som matchar skiftläget i Google Workspace-användarnamnet eller e-postadressen.
• Om din identitetsleverantör krypterar din SAML-intyg, inaktivera kryptering.
• Se till att SAML-svaret inte innehåller några icke-standardiserade ASCII- tecken. Det här problemet uppstår oftast i attributen DisplayName, GivenName och Surname i AttributeStatement, till exempel:
  • <Attributnamn="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
  • <Attributnamn="http://schemas.xmlsoap.org/ws/2005/05/identitet/claims/efternamn">
    <AttributeValue>Blüte</AttributeValue> </Attribute>

Mer information om hur du formaterar NameID- elementet finns i Krav för SSO-kontroll .

"Den här tjänsten kan inte nås eftersom dina inloggningsuppgifter har upphört att gälla. Logga in och försök igen."

Av säkerhetsskäl måste SSO-inloggningsflödet slutföras inom en viss tidsram, annars misslyckas autentiseringen. Om klockan på din identitetsleverantör är felaktig kommer de flesta eller alla inloggningsförsök att verka vara utanför den acceptabla tidsramen, och autentiseringen kommer att misslyckas med ovanstående felmeddelande.

• Kontrollera klockan på din identitetsleverantörs server. Det här felet orsakas nästan alltid av att identitetsleverantörens klocka är felaktig, vilket lägger till felaktiga tidsstämplar i SAML-svaret.
• Synkronisera om identitetsleverantörens serverklocka med en pålitlig internettidsserver. När det här problemet plötsligt uppstår i en produktionsmiljö beror det vanligtvis på att den senaste tidssynkroniseringen misslyckades, vilket gjorde att servertiden blev felaktig. Att upprepa tidssynkroniseringen (eventuellt med en mer pålitlig tidsserver) kommer snabbt att åtgärda problemet.
• Det här problemet kan också uppstå om du skickar SAML igen från ett tidigare inloggningsförsök. Att granska din SAML-begäran och svar (hämtad från HTTP-headerloggar som samlats in under ett inloggningsförsök) kan hjälpa dig att felsöka detta ytterligare.

"Den här tjänsten kan inte nås eftersom dina inloggningsuppgifter ännu inte är giltiga. Logga in och försök igen."

Av säkerhetsskäl måste SSO-inloggningsflödet slutföras inom en viss tidsram, annars misslyckas autentiseringen. Om klockan på din identitetsleverantör är felaktig kommer de flesta eller alla inloggningsförsök att verka vara utanför den acceptabla tidsramen, och autentiseringen kommer att misslyckas med ovanstående felmeddelande.

• Kontrollera klockan på din identitetsleverantörs server. Det här felet orsakas nästan alltid av att identitetsleverantörens klocka är felaktig, vilket lägger till felaktiga tidsstämplar i SAML-svaret.
• Synkronisera om identitetsleverantörens serverklocka med en pålitlig internettidsserver. När det här problemet plötsligt uppstår i en produktionsmiljö beror det vanligtvis på att den senaste tidssynkroniseringen misslyckades, vilket gjorde att servertiden blev felaktig. Att upprepa tidssynkroniseringen (eventuellt med en mer pålitlig tidsserver) kommer snabbt att åtgärda problemet.