Khắc phục sự cố đăng nhập một lần (SSO)

"Tên miền này chưa được thiết lập để sử dụng tính năng đăng nhập một lần."

Lỗi này thường cho biết rằng bạn đang sử dụng một phiên bản Google Workspace không hỗ trợ tính năng SSO (chẳng hạn như phiên bản miễn phí cũ của G Suite). Tất cả các phiên bản Workspace hiện tại đều hỗ trợ tính năng SSO thông qua một nhà cung cấp dịch vụ danh tính (IdP) bên thứ ba.

Nếu bạn đang sử dụng một phiên bản Google Workspace hỗ trợ tính năng SSO, hãy thử các giải pháp khác sau:

• Xác minh rằng cấu hình SSO của IdP đang sử dụng đúng tên miền Google Workspace.
• Nếu bạn gặp lỗi này sau khi thiết lập cấu hình SSO, thì IdP có thể được thiết lập để gửi câu lệnh SAML đến điểm cuối cấu hình SSO cũ. Nếu IdP của bạn có điểm cuối SSO cũ được mã hoá cứng, vui lòng thực hiện như sau:
  1. Thiết lập tính năng SSO cũ.
  2. Yêu cầu nhà cung cấp IdP cập nhật quy trình tích hợp với Google.

"Không thể truy cập tài khoản này vì tên miền được thiết lập không đúng. Vui lòng thử lại sau".

Lỗi này cho biết bạn chưa thiết lập tính năng SSO đúng cách trong Bảng điều khiển dành cho quản trị viên của Google. Hãy xem lại các bước sau để khắc phục tình trạng này:

1. Trong Bảng điều khiển dành cho quản trị viên, hãy chuyển đến Bảo mật Thiết lập dịch vụ đăng nhập một lần (SSO) bằng IdP bên thứ ba rồi đánh dấu vào Thiết lập dịch vụ đăng nhập một lần (SSO) bằng nhà cung cấp dịch vụ danh tính bên thứ ba.
2. Cung cấp URL cho trang đăng nhập, trang đăng xuất và trang thay đổi mật khẩu của tổ chức trong các trường tương ứng.
3. Chọn và tải tệp chứng chỉ xác minh hợp lệ lên.
4. Nhấp vào Lưu, đợi vài phút để các thay đổi có hiệu lực rồi kiểm tra lại quy trình tích hợp.

Đối tượng thuê Google được thiết lập bằng tiền tố bị cấm

Với các ứng dụng iOS, khi URL trang Đăng nhập bằng SSO bắt đầu bằng "google." (hoặc một số biến thể), ứng dụng Google iOS sẽ được chuyển hướng đến Safari. Điều này khiến quy trình SSO không thành công. Sau đây là danh sách đầy đủ các tiền tố bị cấm:

• googl.
• google.
• www.googl.
• www.google.

Bạn cần thay đổi mọi URL trang Đăng nhập bằng SSO có các tiền tố này.

"Thiếu tham số phản hồi bắt buộc SAMLResponse"

Thông báo lỗi này cho biết rằng Nhà cung cấp danh tính của bạn không cung cấp cho Google một Phản hồi SAML hợp lệ thuộc một số loại. Vấn đề này gần như chắc chắn là do vấn đề về cấu hình trong Nhà cung cấp danh tính.

• Kiểm tra nhật ký của Nhà cung cấp danh tính và đảm bảo rằng không có gì ngăn cản việc trả về Phản hồi SAML một cách chính xác.
• Đảm bảo rằng Nhà cung cấp danh tính của bạn không gửi Phản hồi SAML được mã hoá cho Google Workspace. Google Workspace chỉ chấp nhận Phản hồi SAML không được mã hoá. Cụ thể, xin lưu ý rằng Dịch vụ liên kết Active Directory 2.0 của Microsoft thường gửi Phản hồi SAML được mã hoá trong cấu hình mặc định.

"Thiếu tham số phản hồi bắt buộc RelayState"

Thông số kỹ thuật SAML 2.0 yêu cầu Nhà cung cấp danh tính truy xuất và gửi lại tham số URL RelayState từ Nhà cung cấp tài nguyên (chẳng hạn như Google Workspace). Google Workspace cung cấp giá trị này cho Nhà cung cấp danh tính trong Yêu cầu SAML và nội dung chính xác có thể khác nhau trong mỗi lần đăng nhập. Để quá trình xác thực hoàn tất thành công, bạn phải trả về chính xác RelayState trong Phản hồi SAML. Theo thông số kỹ thuật tiêu chuẩn SAML, Nhà cung cấp danh tính của bạn không được sửa đổi RelayState trong quy trình đăng nhập.

• Chẩn đoán thêm vấn đề này bằng cách thu thập tiêu đề HTTP trong khi cố gắng đăng nhập. Trích xuất RelayState từ tiêu đề HTTP bằng cả Yêu cầu và Phản hồi SAML, đồng thời đảm bảo rằng các giá trị RelayState trong Yêu cầu và Phản hồi khớp nhau.
• Hầu hết các Nhà cung cấp danh tính SSO có sẵn trên thị trường hoặc mã nguồn mở đều truyền RelayState một cách liền mạch theo mặc định. Để có tính bảo mật và độ tin cậy tối ưu, bạn nên sử dụng một trong những giải pháp hiện có này và chúng tôi không thể hỗ trợ phần mềm SSO tuỳ chỉnh của riêng bạn.

"Không thể truy cập dịch vụ này do yêu cầu đăng nhập của bạn chứa thông tin [đích|đối tượng|người nhận] không hợp lệ. Vui lòng đăng nhập và thử lại."

Lỗi này cho biết rằng các phần tử đích, đối tượng hoặc người nhận trong câu lệnh SAML chứa thông tin không hợp lệ hoặc bị trống. Bạn phải đưa tất cả các phần tử vào câu lệnh SAML. Kiểm tra các bảng sau trong Yêu cầu về câu lệnh SSO để biết nội dung mô tả và ví dụ cho từng phần tử:

• Sử dụng các phần tử và thuộc tính – cấu hình SSO
• Sử dụng các phần tử và thuộc tính – cấu hình SSO cũ

"Không thể truy cập dịch vụ này vì yêu cầu đăng nhập của bạn không chứa thông tin người nhận. Vui lòng đăng nhập và thử lại."

Lỗi này thường cho biết rằng Phản hồi SAML từ Nhà cung cấp danh tính của bạn thiếu giá trị Người nhận có thể đọc được (hoặc giá trị Người nhận không chính xác). Giá trị Người nhận là một thành phần quan trọng của Phản hồi SAML.

1. Chẩn đoán thêm vấn đề này bằng cách thu thập tiêu đề HTTP trong khi cố gắng đăng nhập.
2. Trích xuất Yêu cầu và Phản hồi SAML từ tiêu đề HTTP.
3. Đảm bảo rằng giá trị Người nhận trong Phản hồi SAML tồn tại và khớp với giá trị trong Yêu cầu SAML.

Lưu ý: Thông báo lỗi này cũng có thể xuất hiện dưới dạng "Không thể truy cập dịch vụ này do yêu cầu đăng nhập của bạn chứa thông tin người nhận không hợp lệ. Vui lòng đăng nhập và thử lại."

"Không thể truy cập tài khoản này vì không thể xác minh thông tin đăng nhập."

Lỗi này cho biết có vấn đề với các chứng chỉ mà bạn đang sử dụng để ký luồng xác thực. Lỗi này thường có nghĩa là khoá riêng tư dùng để ký Phản hồi SAML không khớp với chứng chỉ khoá công khai mà Google Workspace có trong tệp.

Lỗi này cũng có thể xảy ra nếu Phản hồi SAML không chứa tên người dùng Tài khoản Google khả thi. Google Workspace phân tích cú pháp Phản hồi SAML cho một phần tử XML có tên là NameID và mong đợi phần tử này chứa tên người dùng Google Workspace hoặc địa chỉ email đầy đủ của Google Workspace.

• Đảm bảo rằng bạn đã tải một chứng chỉ hợp lệ lên Google Workspace và thay thế chứng chỉ nếu cần. Trong Bảng điều khiển dành cho quản trị viên Google, hãy chuyển đến Bảo mật Thiết lập dịch vụ Đăng nhập một lần (SSO) bằng IdP (nhà cung cấp danh tính) bên thứ ba rồi nhấp vào Thay thế chứng chỉ.
• Nếu bạn đang sử dụng địa chỉ email đầy đủ trong phần tử NameID (bạn phải sử dụng nếu đang dùng tính năng SSO với môi trường Ứng dụng nhiều miền), hãy đảm bảo rằng thuộc tính Định dạng của phần tử NameID chỉ định rằng bạn phải sử dụng địa chỉ email đầy đủ, như trong ví dụ sau: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
• Đảm bảo rằng bạn đang điền phần tử NameID bằng tên người dùng hoặc địa chỉ email hợp lệ. Để chắc chắn, hãy trích xuất Phản hồi SAML mà bạn đang gửi đến Google Workspace rồi kiểm tra giá trị của phần tử NameID.
• NameID phân biệt chữ hoa chữ thường: đảm bảo rằng Phản hồi SAML đang điền NameID bằng một giá trị khớp với trường hợp của tên người dùng hoặc địa chỉ email Google Workspace.
• Nếu Nhà cung cấp danh tính của bạn đang mã hoá Câu lệnh SAML, hãy tắt tính năng mã hoá.
• Đảm bảo rằng Phản hồi SAML không chứa bất kỳ ký tự ASCII không chuẩn nào. Vấn đề này thường xảy ra nhất ở các thuộc tính DisplayName, GivenName và Surname trong AttributeStatement, ví dụ:
  • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
  • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
    <AttributeValue>Blüte</AttributeValue> </Attribute>

Để biết thêm thông tin về cách định dạng phần tử NameID, hãy xem phần Yêu cầu về câu lệnh SSO.

"Không thể truy cập dịch vụ này vì thông tin đăng nhập của bạn đã hết hạn. Vui lòng đăng nhập và thử lại."

Vì lý do bảo mật, quy trình đăng nhập SSO phải hoàn tất trong một khoảng thời gian nhất định, nếu không, quá trình xác thực sẽ không thành công. Nếu đồng hồ trên Nhà cung cấp danh tính của bạn không chính xác, thì hầu hết hoặc tất cả các lần đăng nhập sẽ xuất hiện ngoài khoảng thời gian chấp nhận được và quá trình xác thực sẽ không thành công với thông báo lỗi ở trên.

• Kiểm tra đồng hồ trên máy chủ của Nhà cung cấp danh tính. Lỗi này hầu như luôn do đồng hồ của Nhà cung cấp danh tính không chính xác, điều này sẽ thêm dấu thời gian không chính xác vào Phản hồi SAML.
• Đồng bộ hoá lại đồng hồ máy chủ của Nhà cung cấp danh tính với một máy chủ thời gian internet đáng tin cậy. Khi vấn đề này đột ngột xảy ra trong môi trường sản xuất, thường là do lần đồng bộ hoá cuối cùng không thành công, khiến thời gian máy chủ trở nên không chính xác. Việc lặp lại quá trình đồng bộ hoá thời gian (có thể với một máy chủ thời gian đáng tin cậy hơn) sẽ nhanh chóng khắc phục vấn đề này.
• Vấn đề này cũng có thể xảy ra nếu bạn đang gửi lại SAML từ lần đăng nhập trước. Việc kiểm tra Yêu cầu và Phản hồi SAML (lấy từ nhật ký tiêu đề HTTP được thu thập trong khi cố gắng đăng nhập) có thể giúp bạn gỡ lỗi thêm.

"Không thể truy cập dịch vụ này vì thông tin đăng nhập của bạn không hợp lệ. Vui lòng đăng nhập và thử lại."

Vì lý do bảo mật, quy trình đăng nhập SSO phải hoàn tất trong một khoảng thời gian nhất định, nếu không, quá trình xác thực sẽ không thành công. Nếu đồng hồ trên Nhà cung cấp danh tính của bạn không chính xác, thì hầu hết hoặc tất cả các lần đăng nhập sẽ xuất hiện ngoài khoảng thời gian chấp nhận được và quá trình xác thực sẽ không thành công với thông báo lỗi ở trên.

• Kiểm tra đồng hồ trên máy chủ của Nhà cung cấp danh tính. Lỗi này hầu như luôn do đồng hồ của Nhà cung cấp danh tính không chính xác, điều này sẽ thêm dấu thời gian không chính xác vào Phản hồi SAML.
• Đồng bộ hoá lại đồng hồ máy chủ của Nhà cung cấp danh tính với một máy chủ thời gian internet đáng tin cậy. Khi vấn đề này đột ngột xảy ra trong môi trường sản xuất, thường là do lần đồng bộ hoá cuối cùng không thành công, khiến thời gian máy chủ trở nên không chính xác. Việc lặp lại quá trình đồng bộ hoá thời gian (có thể với một máy chủ thời gian đáng tin cậy hơn) sẽ nhanh chóng khắc phục vấn đề này.