এই ডকুমেন্টটিতে গুগল ওয়ার্কস্পেসের সাথে সিঙ্গেল সাইন-অন (SSO) ইন্টিগ্রেশন বা ব্যবহারের সময় সম্মুখীন হতে পারে এমন সাধারণ এরর মেসেজগুলো সমাধান করার ধাপসমূহ দেওয়া হয়েছে, যখন গুগল সার্ভিস প্রোভাইডার (SP) হিসেবে থাকে।
কনফিগারেশন এবং সক্রিয়করণ
এই ডোমেইনটি সিঙ্গেল সাইন-অন ব্যবহারের জন্য কনফিগার করা নেই।
এই ত্রুটিটি সাধারণত নির্দেশ করে যে আপনি Google Workspace-এর এমন একটি সংস্করণ ব্যবহার করছেন যা SSO সমর্থন করে না (যেমন G Suite-এর পুরোনো বিনামূল্যের সংস্করণ)। Workspace-এর সমস্ত বর্তমান সংস্করণ একটি তৃতীয়-পক্ষ আইডেন্টিটি প্রোভাইডার (IdP)-এর মাধ্যমে SSO সমর্থন করে।
আপনি যদি SSO সমর্থন করে এমন কোনো Google Workspace সংস্করণ ব্যবহার করেন, তাহলে এই অন্যান্য সমাধানগুলো চেষ্টা করে দেখুন:
- আপনার IdP-এর SSO কনফিগারেশনে সঠিক Google Workspace ডোমেইন নামটি ব্যবহৃত হচ্ছে কিনা তা যাচাই করুন।
- SSO প্রোফাইল সেট আপ করার পর যদি আপনি এই ত্রুটিটি পান, তাহলে আপনার IdP সম্ভবত SAML অ্যাসারশনটি লিগ্যাসি SSO প্রোফাইল এন্ডপয়েন্টে পাঠানোর জন্য কনফিগার করা আছে। যদি আপনার IdP-তে লিগ্যাসি SSO এন্ডপয়েন্টটি হার্ড-কোড করা থাকে, তাহলে অনুগ্রহ করে নিম্নলিখিত পদক্ষেপগুলো অনুসরণ করুন:
- লিগ্যাসি SSO সেট আপ করুন।
- আপনার IdP ভেন্ডরকে তাদের গুগল ইন্টিগ্রেশন আপডেট করতে বলুন।
ডোমেইনটি ভুলভাবে কনফিগার করা থাকায় এই অ্যাকাউন্টটি অ্যাক্সেস করা যাচ্ছে না। অনুগ্রহ করে পরে আবার চেষ্টা করুন।
এই ত্রুটিটি নির্দেশ করে যে আপনি গুগল অ্যাডমিন কনসোলে এসএসও (SSO) সঠিকভাবে সেট আপ করেননি। পরিস্থিতিটি সংশোধন করতে নিম্নলিখিত পদক্ষেপগুলি পর্যালোচনা করুন:
- অ্যাডমিন কনসোলে, সিকিউরিটি- তে যান।
একটি থার্ড-পার্টি IdP-এর সাথে সিঙ্গেল সাইন-অন (SSO) সেট আপ করুন , এবং ‘Set up SSO with third-party identity provider’ চেক করুন। - আপনার প্রতিষ্ঠানের সাইন-ইন পেজ, সাইন-আউট পেজ এবং পাসওয়ার্ড পরিবর্তন পেজের ইউআরএলগুলো সংশ্লিষ্ট ফিল্ডে প্রদান করুন।
- একটি বৈধ যাচাইকরণ শংসাপত্র ফাইল নির্বাচন করে আপলোড করুন।
- সেভ-এ ক্লিক করুন, আপনার পরিবর্তনগুলি কার্যকর হওয়ার জন্য কয়েক মিনিট অপেক্ষা করুন এবং আপনার ইন্টিগ্রেশনটি আবার পরীক্ষা করুন।
নিষিদ্ধ প্রিফিক্স দিয়ে কনফিগার করা গুগল টেন্যান্ট
iOS অ্যাপ্লিকেশনগুলির ক্ষেত্রে, যখন SSO সাইন-ইন পেজের URL "google." (বা এর কোনো ভিন্ন রূপ) দিয়ে শুরু হয়, তখন Google iOS অ্যাপটিকে Safari-তে রিডাইরেক্ট করা হয়। এর ফলে SSO প্রক্রিয়াটি ব্যর্থ হয়। নিষিদ্ধ প্রিফিক্সগুলির সম্পূর্ণ তালিকাটি হলো:
- গুগল।
- গুগল।
- www.googl.
- www.google.
যেসব SSO সাইন-ইন পেজের URL-এ এই প্রিফিক্সগুলো রয়েছে, সেগুলো আপনাকে পরিবর্তন করতে হবে।
SAML প্রতিক্রিয়া পার্স করা
প্রয়োজনীয় রেসপন্স প্যারামিটার SAMLResponse অনুপস্থিত ছিল।
এই ত্রুটি বার্তাটি নির্দেশ করে যে আপনার আইডেন্টিটি প্রোভাইডার গুগলকে কোনো ধরনের বৈধ SAML রেসপন্স প্রদান করছে না। এই সমস্যাটি প্রায় নিশ্চিতভাবেই আইডেন্টিটি প্রোভাইডারের কনফিগারেশনগত ত্রুটির কারণে হচ্ছে।
- আপনার আইডেন্টিটি প্রোভাইডারের লগগুলো পরীক্ষা করুন এবং নিশ্চিত করুন যে এমন কিছু নেই যা এটিকে সঠিকভাবে একটি SAML রেসপন্স ফেরত দিতে বাধা দিচ্ছে।
- নিশ্চিত করুন যে আপনার আইডেন্টিটি প্রোভাইডার গুগল ওয়ার্কস্পেসকে কোনো এনক্রিপ্টেড SAML রেসপন্স পাঠাচ্ছে না। গুগল ওয়ার্কস্পেস শুধুমাত্র আনএনক্রিপ্টেড SAML রেসপন্স গ্রহণ করে। বিশেষ করে, অনুগ্রহ করে মনে রাখবেন যে মাইক্রোসফটের অ্যাক্টিভ ডিরেক্টরি ফেডারেশন সার্ভিসেস ২.০ প্রায়শই ডিফল্ট কনফিগারেশনে এনক্রিপ্টেড SAML রেসপন্স পাঠিয়ে থাকে।
প্রয়োজনীয় প্রতিক্রিয়া প্যারামিটার RelayState অনুপস্থিত ছিল।
SAML 2.0 স্পেসিফিকেশন অনুযায়ী, আইডেন্টিটি প্রোভাইডারদের অবশ্যই রিসোর্স প্রোভাইডারদের (যেমন গুগল ওয়ার্কস্পেস) থেকে একটি RelayState URL প্যারামিটার সংগ্রহ করে ফেরত পাঠাতে হয়। গুগল ওয়ার্কস্পেস SAML রিকোয়েস্টের মাধ্যমে আইডেন্টিটি প্রোভাইডারকে এই মানটি সরবরাহ করে, এবং প্রতিটি লগইনের ক্ষেত্রে এর সঠিক বিষয়বস্তু ভিন্ন হতে পারে। অথেনটিকেশন সফলভাবে সম্পন্ন হওয়ার জন্য, SAML রেসপন্সে অবশ্যই সঠিক RelayState ফেরত দিতে হবে। SAML স্ট্যান্ডার্ড স্পেসিফিকেশন অনুসারে, লগইন প্রক্রিয়া চলাকালীন আপনার আইডেন্টিটি প্রোভাইডারের RelayState পরিবর্তন করা উচিত নয়।
- লগইন করার চেষ্টার সময় HTTP হেডার ক্যাপচার করে এই সমস্যাটি আরও ভালোভাবে নির্ণয় করুন। SAML Request এবং Response উভয়ের HTTP হেডার থেকে RelayState বের করুন এবং নিশ্চিত করুন যে Request ও Response-এর RelayState-এর মান একই।
- অধিকাংশ বাণিজ্যিকভাবে উপলব্ধ বা ওপেন-সোর্স SSO আইডেন্টিটি প্রোভাইডার ডিফল্টরূপে নির্বিঘ্নে RelayState প্রেরণ করে। সর্বোত্তম নিরাপত্তা এবং নির্ভরযোগ্যতার জন্য, আমরা আপনাকে এই বিদ্যমান সমাধানগুলির মধ্যে একটি ব্যবহার করার পরামর্শ দিই এবং আমরা আপনার নিজস্ব কাস্টম SSO সফ্টওয়্যারের জন্য সহায়তা প্রদান করতে পারি না।
SAML প্রতিক্রিয়ার বিষয়বস্তু
এই পরিষেবাটি ব্যবহার করা যাচ্ছে না কারণ আপনার লগইন অনুরোধে ভুল [গন্তব্য|শ্রোতা|প্রাপক] তথ্য রয়েছে। অনুগ্রহ করে লগ ইন করে আবার চেষ্টা করুন।
এই ত্রুটিটি নির্দেশ করে যে SAML অ্যাসারশনের destination , audience বা recipient এলিমেন্টগুলিতে ভুল তথ্য ছিল অথবা সেগুলি খালি ছিল। SAML অ্যাসারশনে সমস্ত এলিমেন্ট অবশ্যই অন্তর্ভুক্ত করতে হবে। প্রতিটি এলিমেন্টের বিবরণ এবং উদাহরণের জন্য SSO অ্যাসারশন রিকোয়ারমেন্টস -এর নিম্নলিখিত টেবিলগুলি দেখুন:
এই পরিষেবাটি ব্যবহার করা যাচ্ছে না কারণ আপনার লগইন অনুরোধে প্রাপকের তথ্য ছিল না। অনুগ্রহ করে লগ ইন করে আবার চেষ্টা করুন।
এই ত্রুটিটি সাধারণত নির্দেশ করে যে আপনার আইডেন্টিটি প্রোভাইডারের কাছ থেকে আসা SAML রেসপন্সে একটি পাঠযোগ্য Recipient ভ্যালু নেই (অথবা Recipient ভ্যালুটি ভুল)। Recipient ভ্যালুটি SAML রেসপন্সের একটি গুরুত্বপূর্ণ উপাদান।
- লগইন করার চেষ্টার সময় HTTP হেডার ক্যাপচার করে এই সমস্যাটি আরও ভালোভাবে নির্ণয় করুন।
- HTTP হেডার থেকে SAML অনুরোধ এবং প্রতিক্রিয়া বের করুন।
- নিশ্চিত করুন যে SAML রেসপন্স-এ Recipient ভ্যালুটি বিদ্যমান আছে এবং তা SAML রিকোয়েস্ট-এর ভ্যালুর সাথে মেলে।
দ্রষ্টব্য: এই ত্রুটি বার্তাটি এভাবেও প্রদর্শিত হতে পারে: "আপনার লগইন অনুরোধে প্রাপকের তথ্য ভুল থাকায় এই পরিষেবাটি অ্যাক্সেস করা যাচ্ছে না। অনুগ্রহ করে লগ ইন করে আবার চেষ্টা করুন।"
এই অ্যাকাউন্টটি অ্যাক্সেস করা যাচ্ছে না কারণ লগইন তথ্য যাচাই করা সম্ভব হয়নি।
এই ত্রুটিটি নির্দেশ করে যে, প্রমাণীকরণ প্রবাহে স্বাক্ষর করার জন্য আপনি যে সার্টিফিকেটগুলো ব্যবহার করছেন, সেগুলোতে কোনো সমস্যা আছে। এর মানে সাধারণত এই যে, SAML রেসপন্সে স্বাক্ষর করতে ব্যবহৃত প্রাইভেট কী-টি, গুগল ওয়ার্কস্পেসের কাছে সংরক্ষিত পাবলিক কী সার্টিফিকেটের সাথে মেলে না।
আপনার SAML রেসপন্সে যদি একটি কার্যকর গুগল অ্যাকাউন্টের ইউজারনেম না থাকে, তাহলেও এটি ঘটতে পারে। গুগল ওয়ার্কস্পেস SAML রেসপন্স থেকে NameID নামক একটি XML এলিমেন্ট পার্স করে এবং আশা করে যে এই এলিমেন্টটিতে একটি গুগল ওয়ার্কস্পেস ইউজারনেম অথবা একটি সম্পূর্ণ গুগল ওয়ার্কস্পেস ইমেল অ্যাড্রেস থাকবে।
- নিশ্চিত করুন যে আপনি গুগল ওয়ার্কস্পেসে একটি বৈধ সার্টিফিকেট আপলোড করেছেন, এবং প্রয়োজনে সার্টিফিকেটটি প্রতিস্থাপন করুন। গুগল অ্যাডমিন কনসোলে, সিকিউরিটি (Security)- তে যান। একটি থার্ড পার্টি IdP-এর সাথে সিঙ্গেল সাইন-অন (SSO) সেট আপ করুন এবং Replace certificate-এ ক্লিক করুন।
- যদি আপনি আপনার NameID এলিমেন্টে একটি সম্পূর্ণ ইমেল অ্যাড্রেস ব্যবহার করেন (মাল্টিডোমেইন অ্যাপস এনভায়রনমেন্টে SSO ব্যবহার করলে আপনাকে অবশ্যই তা করতে হবে), তাহলে নিশ্চিত করুন যে NameID এলিমেন্টের Format অ্যাট্রিবিউটে উল্লেখ করা আছে যে একটি সম্পূর্ণ ইমেল অ্যাড্রেস ব্যবহার করা হবে, যেমনটি নিচের উদাহরণে দেখানো হয়েছে: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"।
- নিশ্চিত করুন যে আপনি NameID এলিমেন্টটিতে একটি বৈধ ইউজারনেম বা ইমেল অ্যাড্রেস দিচ্ছেন। নিশ্চিত হওয়ার জন্য, আপনি Google Workspace-এ যে SAML Response পাঠাচ্ছেন তা এক্সট্র্যাক্ট করুন এবং NameID এলিমেন্টের ভ্যালুটি চেক করুন।
- NameID কেস-সেনসিটিভ: নিশ্চিত করুন যে SAML রেসপন্সটি NameID-কে এমন একটি ভ্যালু দিয়ে পূরণ করছে যা Google Workspace ইউজারনেম বা ইমেল অ্যাড্রেসের কেসের সাথে মেলে।
- আপনার আইডেন্টিটি প্রোভাইডার যদি আপনার SAML অ্যাসারশন এনক্রিপ্ট করে থাকে, তাহলে এনক্রিপশন নিষ্ক্রিয় করুন।
- নিশ্চিত করুন যে SAML রেসপন্সে কোনো নন-স্ট্যান্ডার্ড ASCII ক্যারেক্টার অন্তর্ভুক্ত নেই। এই সমস্যাটি সাধারণত AttributeStatement-এর DisplayName, GivenName, এবং Surname অ্যাট্রিবিউটগুলিতে ঘটে থাকে, উদাহরণস্বরূপ:
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue> </Attribute> - <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
NameID এলিমেন্টটি কীভাবে ফরম্যাট করতে হয় সে সম্পর্কে আরও তথ্যের জন্য, SSO অ্যাসারশন রিকোয়ারমেন্টস দেখুন।
আপনার লগইন তথ্যের মেয়াদ শেষ হয়ে যাওয়ায় এই পরিষেবাটি ব্যবহার করা যাচ্ছে না। অনুগ্রহ করে লগ ইন করে আবার চেষ্টা করুন।
নিরাপত্তাজনিত কারণে, SSO লগইন প্রক্রিয়াটি অবশ্যই একটি নির্দিষ্ট সময়সীমার মধ্যে সম্পন্ন করতে হবে, অন্যথায় প্রমাণীকরণ ব্যর্থ হয়। যদি আপনার আইডেন্টিটি প্রোভাইডারের ঘড়ির সময় ভুল থাকে, তবে বেশিরভাগ বা সমস্ত লগইন প্রচেষ্টা গ্রহণযোগ্য সময়সীমার বাইরে বলে মনে হবে এবং উপরের ত্রুটি বার্তা সহ প্রমাণীকরণ ব্যর্থ হবে।
- আপনার আইডেন্টিটি প্রোভাইডারের সার্ভারের ঘড়ি পরীক্ষা করুন। এই ত্রুটিটি প্রায় সবসময়ই আইডেন্টিটি প্রোভাইডারের ঘড়ি ভুল থাকার কারণে ঘটে, যা SAML রেসপন্সে ভুল টাইমস্ট্যাম্প যোগ করে দেয়।
- একটি নির্ভরযোগ্য ইন্টারনেট টাইম সার্ভারের সাথে আইডেন্টিটি প্রোভাইডার সার্ভারের ঘড়ি পুনরায় সিঙ্ক করুন। যখন কোনো প্রোডাকশন এনভায়রনমেন্টে এই সমস্যাটি হঠাৎ দেখা দেয়, তখন সাধারণত এর কারণ হলো শেষ টাইম সিঙ্কটি ব্যর্থ হওয়া, যার ফলে সার্ভারের সময় ভুল হয়ে যায়। টাইম সিঙ্কটি পুনরায় করলে (সম্ভবত আরও নির্ভরযোগ্য কোনো টাইম সার্ভারের সাথে) এই সমস্যার দ্রুত সমাধান হয়ে যাবে।
- পূর্ববর্তী লগইন প্রচেষ্টা থেকে SAML পুনরায় পাঠানোর ক্ষেত্রেও এই সমস্যাটি দেখা দিতে পারে। লগইন প্রচেষ্টার সময় সংগৃহীত HTTP হেডার লগ থেকে প্রাপ্ত আপনার SAML অনুরোধ এবং প্রতিক্রিয়া পরীক্ষা করলে, এটি আরও ভালোভাবে ডিবাগ করতে সাহায্য হতে পারে।
এই পরিষেবাটি ব্যবহার করা যাচ্ছে না কারণ আপনার লগইন তথ্য এখনও বৈধ নয়। অনুগ্রহ করে লগ ইন করে আবার চেষ্টা করুন।
নিরাপত্তাজনিত কারণে, SSO লগইন প্রক্রিয়াটি অবশ্যই একটি নির্দিষ্ট সময়সীমার মধ্যে সম্পন্ন করতে হবে, অন্যথায় প্রমাণীকরণ ব্যর্থ হয়। যদি আপনার আইডেন্টিটি প্রোভাইডারের ঘড়ির সময় ভুল থাকে, তবে বেশিরভাগ বা সমস্ত লগইন প্রচেষ্টা গ্রহণযোগ্য সময়সীমার বাইরে বলে মনে হবে এবং উপরের ত্রুটি বার্তা সহ প্রমাণীকরণ ব্যর্থ হবে।
- আপনার আইডেন্টিটি প্রোভাইডারের সার্ভারের ঘড়ি পরীক্ষা করুন। এই ত্রুটিটি প্রায় সবসময়ই আইডেন্টিটি প্রোভাইডারের ঘড়ি ভুল থাকার কারণে ঘটে, যা SAML রেসপন্সে ভুল টাইমস্ট্যাম্প যোগ করে দেয়।
- একটি নির্ভরযোগ্য ইন্টারনেট টাইম সার্ভারের সাথে আইডেন্টিটি প্রোভাইডার সার্ভারের ঘড়ি পুনরায় সিঙ্ক করুন। যখন কোনো প্রোডাকশন এনভায়রনমেন্টে এই সমস্যাটি হঠাৎ দেখা দেয়, তখন সাধারণত এর কারণ হলো শেষ টাইম সিঙ্কটি ব্যর্থ হওয়া, যার ফলে সার্ভারের সময় ভুল হয়ে যায়। টাইম সিঙ্কটি পুনরায় করলে (সম্ভবত আরও নির্ভরযোগ্য কোনো টাইম সার্ভারের সাথে) এই সমস্যার দ্রুত সমাধান হয়ে যাবে।