Soluciona problemas relacionados con el inicio de sesión único (SSO)

"Este dominio no está configurado para usar el inicio de sesión único"

Por lo general, este error indica que estás usando una versión de Google Workspace que no admite el SSO (como la edición heredada gratuita de G Suite). Todas las ediciones actuales de Workspace admiten el SSO a través de un proveedor de identidad (IdP) externo.

Si usas una edición de Google Workspace que admite el SSO, prueba estas otras soluciones:

• Verifica que la configuración de SSO de tu IdP use el nombre de dominio correcto de Google Workspace.
• Si recibes este error después de configurar los perfiles de SSO, es posible que tu IdP esté configurado para enviar la aserción de SAML al extremo del perfil de SSO heredado. Si tu IdP tiene codificado el extremo de SSO heredado, haz lo siguiente:
  1. Configura el SSO heredado.
  2. Pídele al proveedor de tu IdP que actualice su integración con Google.

"No se puede acceder a esta cuenta porque el dominio no está configurado correctamente. Inténtalo de nuevo más tarde".

Este error indica que no configuraste el SSO correctamente en la Consola del administrador de Google. Revisa los siguientes pasos para corregir la situación:

1. En la Consola del administrador, ve a Seguridad Configurar el inicio de sesión único (SSO) con un IdP externo y marca Configurar el SSO con un proveedor de identidad externo.
2. Proporciona las URLs de la página de acceso, la página de cierre de sesión y la página de cambio de contraseña de tu organización en los campos correspondientes.
3. Elige y sube un archivo de certificado de verificación válido.
4. Haz clic en Guardar, espera unos minutos para que los cambios surtan efecto y vuelve a probar la integración.

Tenant de Google configurado con un prefijo prohibido

En las aplicaciones para iOS, cuando la URL de la página de acceso de SSO comienza con "google." (o alguna variación), la app de Google para iOS se redirecciona a Safari. Esto hace que falle el proceso de SSO. La lista completa de prefijos prohibidos es la siguiente:

• googl.
• google.
• www.googl.
• www.google.

Deberás cambiar las URLs de la página de acceso de SSO que tengan estos prefijos.

"Faltaba el parámetro de respuesta obligatorio SAMLResponse"

Este mensaje de error indica que tu proveedor de identidad no le proporciona a Google una respuesta de SAML válida de algún tipo. Este problema casi siempre se debe a un problema de configuración en el proveedor de identidad.

• Consulta los registros de tu proveedor de identidad y asegúrate de que no haya nada que impida que devuelva correctamente una respuesta de SAML.
• Asegúrate de que tu proveedor de identidad no le envíe a Google Workspace una respuesta de SAML encriptada. Google Workspace solo acepta respuestas de SAML que no estén encriptadas. En particular, ten en cuenta que los Servicios de federación de Active Directory 2.0 de Microsoft suelen enviar respuestas de SAML encriptadas en las configuraciones predeterminadas.

"Faltaba el parámetro de respuesta obligatorio RelayState"

La especificación de SAML 2.0 requiere que los proveedores de identidad recuperen y envíen un parámetro de URL RelayState de los proveedores de recursos (como Google Workspace). Google Workspace proporciona este valor al proveedor de identidad en la solicitud de SAML, y el contenido exacto puede diferir en cada acceso. Para que la autenticación se complete correctamente, se debe devolver el RelayState exacto en la respuesta de SAML. Según la especificación estándar de SAML, tu proveedor de identidad no debe modificar el RelayState durante el flujo de acceso.

• Para diagnosticar este problema, captura los encabezados HTTP durante un intento de acceso. Extrae el RelayState de los encabezados HTTP con la solicitud y la respuesta de SAML, y asegúrate de que los valores de RelayState en la solicitud y la respuesta coincidan.
• La mayoría de los proveedores de identidad de SSO disponibles comercialmente o de código abierto transmiten el RelayState sin problemas de forma predeterminada. Para obtener una seguridad y confiabilidad óptimas, te recomendamos que uses una de estas soluciones existentes y no podemos ofrecer asistencia para tu propio software de SSO personalizado.

"No es posible acceder al servicio debido a que la solicitud de acceso incluye información de [destino|audience|destinatario] no válida. Accede a la cuenta y vuelve a intentarlo".

Este error indica que los elementos destination, audience o recipient de la aserción de SAML contenían información no válida o estaban vacíos. Todos los elementos deben incluirse en la aserción de SAML. Consulta las siguientes tablas en Requisitos de aserción de SSO para obtener descripciones y ejemplos de cada elemento:

• Usa elementos y atributos: Perfiles de SSO
• Usa elementos y atributos: Perfil de SSO heredado

"No se puede acceder al servicio porque su solicitud de acceso no cuenta con información de destinatario. Acceda e intente nuevamente".

Por lo general, este error indica que la respuesta de SAML de tu proveedor de identidad no tiene un valor Recipient legible (o que el valor Recipient es incorrecto). El valor Recipient es un componente importante de la respuesta de SAML.

1. Para diagnosticar este problema, captura los encabezados HTTP durante un intento de acceso.
2. Extrae la solicitud y la respuesta de SAML de los encabezados HTTP.
3. Asegúrate de que el valor Recipient en la respuesta de SAML exista y coincida con el valor de la solicitud de SAML.

Nota: Este mensaje de error también puede aparecer como "No se puede acceder al servicio porque su solicitud de acceso contiene información de destinatario no válida. Acceda e intente nuevamente".

"No se puede acceder a la cuenta porque las credenciales de acceso no pudieron verificarse".

Este error indica un problema con los certificados que usas para firmar el flujo de autenticación. Por lo general, significa que la clave privada que se usa para firmar la respuesta de SAML no coincide con el certificado de clave pública que Google Workspace tiene en el archivo.

También puede ocurrir si tu respuesta de SAML no contiene un nombre de usuario viable de Cuentas de Google. Google Workspace analiza la respuesta de SAML para un elemento XML llamado NameID y espera que este elemento contenga un nombre de usuario de Google Workspace o una dirección de correo electrónico completa de Google Workspace.

• Asegúrate de haber subido un certificado válido a Google Workspace y, si es necesario, reemplaza el certificado. En la Consola del administrador de Google, ve a Seguridad Configurar el inicio de sesión único (SSO) con un IdP externo y haz clic en Reemplazar certificado.
• Si usas una dirección de correo electrónico completa en tu elemento NameID (debes hacerlo si usas el SSO con un entorno de Apps de varios dominios), asegúrate de que el atributo Format del elemento NameID especifique que se debe usar una dirección de correo electrónico completa, como en el siguiente ejemplo: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
• Asegúrate de completar el elemento NameID con un nombre de usuario o una dirección de correo electrónico válidos. Para asegurarte, extrae la respuesta de SAML que envías a Google Workspace y verifica el valor del elemento NameID.
• NameID distingue mayúsculas de minúsculas: Asegúrate de que la respuesta de SAML complete NameID con un valor que coincida con el uso de mayúsculas y minúsculas del nombre de usuario o la dirección de correo electrónico de Google Workspace.
• Si tu proveedor de identidad encripta tu aserción de SAML, inhabilita la encriptación.
• Asegúrate de que la respuesta de SAML no incluya ningún carácter ASCII no estándar. Este problema suele ocurrir en los atributos DisplayName, GivenName y Surname de AttributeStatement, por ejemplo:
  • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
  • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
    <AttributeValue>Blüte</AttributeValue> </Attribute>

Para obtener más información sobre cómo dar formato al elemento NameID, consulta Requisitos de aserción de SSO.

"No se puede acceder al servicio porque sus credenciales de acceso caducaron. Acceda e intente nuevamente".

Por motivos de seguridad, el flujo de acceso de SSO debe completarse dentro de un período determinado o la autenticación fallará. Si el reloj de tu proveedor de identidad es incorrecto, la mayoría o todos los intentos de acceso parecerán estar fuera del período aceptable, y la autenticación fallará con el mensaje de error anterior.

• Verifica el reloj del servidor de tu proveedor de identidad. Este error casi siempre se debe a que el reloj del proveedor de identidad es incorrecto, lo que agrega marcas de tiempo incorrectas a la respuesta de SAML.
• Vuelve a sincronizar el reloj del servidor del proveedor de identidad con un servidor de hora de Internet confiable. Cuando este problema ocurre de repente en un entorno de producción, suele deberse a que falló la última sincronización de hora, lo que provocó que la hora del servidor se volviera imprecisa. Si repites la sincronización de hora (posiblemente con un servidor de hora más confiable), se solucionará rápidamente este problema.
• Este problema también puede ocurrir si vuelves a enviar SAML desde un intento de acceso anterior. Si examinas tu solicitud y respuesta de SAML (obtenidas de los registros de encabezados HTTP capturados durante un intento de acceso), podrás depurar este problema.

"No se puede acceder al servicio porque sus credenciales de acceso no son válidas. Acceda e intente nuevamente".

Por motivos de seguridad, el flujo de acceso de SSO debe completarse dentro de un período determinado o la autenticación fallará. Si el reloj de tu proveedor de identidad es incorrecto, la mayoría o todos los intentos de acceso parecerán estar fuera del período aceptable, y la autenticación fallará con el mensaje de error anterior.

• Verifica el reloj del servidor de tu proveedor de identidad. Este error casi siempre se debe a que el reloj del proveedor de identidad es incorrecto, lo que agrega marcas de tiempo incorrectas a la respuesta de SAML.
• Vuelve a sincronizar el reloj del servidor del proveedor de identidad con un servidor de hora de Internet confiable. Cuando este problema ocurre de repente en un entorno de producción, suele deberse a que falló la última sincronización de hora, lo que provocó que la hora del servidor se volviera imprecisa. Si repites la sincronización de hora (posiblemente con un servidor de hora más confiable), se solucionará rápidamente este problema.