सिंगल साइन-ऑन (एसएसओ) से जुड़ी समस्या हल करना

इस दस्तावेज़ में, Google Workspace के साथ सिंगल साइन-ऑन (एसएसओ) को इंटिग्रेट करने या उसका इस्तेमाल करने के दौरान दिखने वाली सामान्य गड़बड़ी के मैसेज को ठीक करने का तरीका बताया गया है. इसमें, Google को सेवा देने वाली कंपनी (एसपी) के तौर पर इस्तेमाल किया जाता है.

कॉन्फ़िगरेशन और चालू करना

"इस डोमेन को सिंगल साइन-ऑन का इस्तेमाल करने के लिए कॉन्फ़िगर नहीं किया गया है."

आम तौर पर, यह गड़बड़ी तब दिखती है, जब Google Workspace के ऐसे वर्शन का इस्तेमाल किया जा रहा हो जिसमें एसएसओ की सुविधा उपलब्ध न हो. जैसे, G Suite का लेगसी मुफ़्त वर्शन. Workspace editions के सभी मौजूदा वर्शन में, तीसरे पक्ष के आइडेंटिटी प्रोवाइडर (आईडीपी) की मदद से एसएसओ की सुविधा उपलब्ध है.

अगर Google Workspace के ऐसे वर्शन का इस्तेमाल किया जा रहा है जिसमें एसएसओ की सुविधा उपलब्ध है, तो इन अन्य तरीकों को आज़माएं:

  • पक्का करें कि आपके आईडीपी के एसएसओ कॉन्फ़िगरेशन में, Google Workspace के सही डोमेन नेम का इस्तेमाल किया गया हो.
  • अगर एसएसओ प्रोफ़ाइलें सेट अप करने के बाद यह गड़बड़ी दिखती है, तो हो सकता है कि आपका आईडीपी, एसएएमएल असर्शन को लेगसी एसएसओ प्रोफ़ाइल के एंडपॉइंट पर भेजने के लिए कॉन्फ़िगर किया गया हो. अगर आपके आईडीपी में लेगसी एसएसओ एंडपॉइंट हार्ड-कोड किया गया है, तो कृपया यह तरीका अपनाएं:
    1. लेगसी एसएसओ सेट अप करें.
    2. अपने आईडीपी वेंडर से, Google के साथ इंटिग्रेशन को अपडेट करने के लिए कहें.

"इस खाते को ऐक्सेस नहीं किया जा सकता, क्योंकि डोमेन को गलत तरीके से कॉन्फ़िगर किया गया है. कृपया बाद में फिर से कोशिश करें."

इस गड़बड़ी से पता चलता है कि आपने Google Admin console में एसएसओ को सही तरीके से सेट अप नहीं किया है. इस समस्या को ठीक करने के लिए, यह तरीका अपनाएं:

  1. Admin console में, सुरक्षा इसके बाद तीसरे पक्ष के आईडीपी की मदद से सिंगल साइन-ऑन (एसएसओ) सेट अप करें पर जाएं और तीसरे पक्ष के आइडेंटिटी प्रोवाइडर के साथ एसएसओ सेट अप करें को चुनें.
  2. अपने संगठन के साइन-इन पेज, साइन-आउट पेज, और पासवर्ड बदलने वाले पेज के यूआरएल, उनसे जुड़े फ़ील्ड में डालें.
  3. पुष्टि करने के लिए, मान्य सर्टिफ़िकेट फ़ाइल चुनें और अपलोड करें.
  4. सेव करें पर क्लिक करें. इसके बाद, बदलाव लागू होने में कुछ मिनट लग सकते हैं. इसके बाद, इंटिग्रेशन को फिर से टेस्ट करें.

Google किरायेदार को, अनुमति न दिए गए प्रीफ़िक्स के साथ कॉन्फ़िगर किया गया है

iOS ऐप्लिकेशन के साथ, जब एसएसओ साइन-इन पेज का यूआरएल "google." से शुरू होता है (या कोई अन्य वेरिएशन), तो Google iOS ऐप्लिकेशन को Safari पर रीडायरेक्ट कर दिया जाता है. इस वजह से, एसएसओ की प्रोसेस पूरी नहीं हो पाती. अनुमति न दिए गए प्रीफ़िक्स की पूरी सूची यहां दी गई है:

  • googl.
  • google.
  • www.googl.
  • www.google.

आपको एसएसओ साइन-इन पेज के उन सभी यूआरएल को बदलना होगा जिनमें ये प्रीफ़िक्स मौजूद हैं.

एसएएमएल रिस्पॉन्स को पार्स करना

"ज़रूरी रिस्पॉन्स पैरामीटर SAMLResponse मौजूद नहीं था"

गड़बड़ी के इस मैसेज से पता चलता है कि आपका आइडेंटिटी प्रोवाइडर, Google को किसी तरह का मान्य एसएएमएल रिस्पॉन्स नहीं दे रहा है. इस समस्या की वजह, आइडेंटिटी प्रोवाइडर में कॉन्फ़िगरेशन से जुड़ी कोई गड़बड़ी हो सकती है.

  • अपने आइडेंटिटी प्रोवाइडर के लॉग देखें और पक्का करें कि एसएएमएल रिस्पॉन्स को सही तरीके से वापस करने में कोई समस्या न हो.
  • पक्का करें कि आपका आइडेंटिटी प्रोवाइडर, Google Workspace को एन्क्रिप्ट किया गया एसएएमएल रिस्पॉन्स न भेज रहा हो. Google Workspace, सिर्फ़ एन्क्रिप्ट न किए गए एसएएमएल रिस्पॉन्स स्वीकार करता है. कृपया ध्यान दें कि Microsoft की Active Directory Federation Services 2.0, अक्सर डिफ़ॉल्ट कॉन्फ़िगरेशन में एन्क्रिप्ट किए गए एसएएमएल रिस्पॉन्स भेजती है.

"ज़रूरी रिस्पॉन्स पैरामीटर RelayState मौजूद नहीं था"

एसएएमएल 2.0 स्पेसिफ़िकेशन के मुताबिक, आइडेंटिटी प्रोवाइडर को रिसोर्स प्रोवाइडर (जैसे, Google Workspace) से RelayState यूआरएल पैरामीटर को वापस पाना और भेजना ज़रूरी है. Google Workspace, एसएएमएल अनुरोध में आइडेंटिटी प्रोवाइडर को यह वैल्यू देता है. साथ ही, हर लॉगिन में इसका कॉन्टेंट अलग-अलग हो सकता है. पुष्टि की प्रोसेस पूरी होने के लिए, एसएएमएल रिस्पॉन्स में RelayState को सही तरीके से वापस करना ज़रूरी है. एसएएमएल स्टैंडर्ड स्पेसिफ़िकेशन के मुताबिक, आपके आइडेंटिटी प्रोवाइडर को लॉगिन फ़्लो के दौरान RelayState में बदलाव नहीं करना चाहिए.

  • लॉगिन की कोशिश के दौरान, एचटीटीपी हेडर कैप्चर करके इस समस्या के बारे में ज़्यादा जानकारी पाएं. एसएएमएल अनुरोध और रिस्पॉन्स, दोनों के साथ एचटीटीपी हेडर से RelayState एक्सट्रैक्ट करें. साथ ही, पक्का करें कि अनुरोध और रिस्पॉन्स में RelayState की वैल्यू एक जैसी हों.
  • वाणिज्यिक तौर पर उपलब्ध या ओपन-सोर्स एसएसओ आइडेंटिटी प्रोवाइडर, डिफ़ॉल्ट रूप से RelayState को आसानी से ट्रांसमिट करते हैं. हमारा सुझाव है कि सुरक्षा और भरोसेमंद तरीके से काम करने के लिए, इनमें से किसी एक मौजूदा समाधान का इस्तेमाल करें. हम आपके कस्टम एसएसओ सॉफ़्टवेयर के लिए सहायता उपलब्ध नहीं करा सकते.

एसएएमएल रिस्पॉन्स का कॉन्टेंट

"इस सेवा को ऐक्सेस नहीं किया जा सकता, क्योंकि आपके लॉगिन अनुरोध में [destination|audience|recipient] की अमान्य जानकारी शामिल है. कृपया लॉग इन करें और फिर से कोशिश करें."

इस गड़बड़ी से पता चलता है कि एसएएमएल असर्शन में मौजूद destination, audience या recipient एलिमेंट में अमान्य जानकारी शामिल थी या वे खाली थे. एसएएमएल असर्शन में सभी एलिमेंट शामिल होने चाहिए. हर एलिमेंट की जानकारी और उदाहरण के लिए, एसएसओ असर्शन की ज़रूरी शर्तों में मौजूद ये टेबल देखें:

"इस सेवा को ऐक्सेस नहीं किया जा सकता, क्योंकि आपके लॉगिन अनुरोध में पाने वाले की कोई जानकारी शामिल नहीं है. कृपया लॉग इन करें और फिर से कोशिश करें."

आम तौर पर, इस गड़बड़ी से पता चलता है कि आपके आइडेंटिटी प्रोवाइडर के एसएएमएल रिस्पॉन्स में, Recipient की ऐसी वैल्यू मौजूद नहीं है जिसे पढ़ा जा सके. इसके अलावा, यह भी हो सकता है कि Recipient की वैल्यू गलत हो. Recipient की वैल्यू, एसएएमएल रिस्पॉन्स का एक अहम हिस्सा है.

  1. लॉगिन की कोशिश के दौरान, एचटीटीपी हेडर कैप्चर करके इस समस्या के बारे में ज़्यादा जानकारी पाएं.
  2. एचटीटीपी हेडर से एसएएमएल अनुरोध और रिस्पॉन्स एक्सट्रैक्ट करें.
  3. पक्का करें कि एसएएमएल रिस्पॉन्स में Recipient की वैल्यू मौजूद हो और वह एसएएमएल अनुरोध में मौजूद वैल्यू से मेल खाती हो.

ध्यान दें: गड़बड़ी का यह मैसेज, "इस सेवा को ऐक्सेस नहीं किया जा सकता, क्योंकि आपके लॉगिन अनुरोध में पाने वाले की अमान्य जानकारी शामिल है. कृपया लॉग इन करें और फिर से कोशिश करें." के तौर पर भी दिख सकता है

"इस खाते को ऐक्सेस नहीं किया जा सकता, क्योंकि लॉगइन क्रेडेंशियल्स सत्यापित नहीं हो सके."

इस गड़बड़ी से पता चलता है कि पुष्टि करने के फ़्लो पर हस्ताक्षर करने के लिए इस्तेमाल किए जा रहे सर्टिफ़िकेट में कोई समस्या है. आम तौर पर, इसका मतलब है कि एसएएमएल रिस्पॉन्स पर हस्ताक्षर करने के लिए इस्तेमाल की गई निजी कुंजी, Google Workspace के पास मौजूद सार्वजनिक कुंजी सर्टिफ़िकेट से मेल नहीं खाती.

यह गड़बड़ी तब भी हो सकती है, जब आपके एसएएमएल रिस्पॉन्स में Google खातों का कोई मान्य उपयोगकर्ता नाम शामिल न हो. Google Workspace, एसएएमएल रिस्पॉन्स को पार्स करके NameID नाम का एक्सएमएल एलिमेंट ढूंढता है. साथ ही, उसे उम्मीद होती है कि इस एलिमेंट में Google Workspace का उपयोगकर्ता नाम या Google Workspace का पूरा ईमेल पता शामिल होगा.

  • पक्का करें कि आपने Google Workspace पर कोई मान्य सर्टिफ़िकेट अपलोड किया हो. साथ ही, अगर ज़रूरी हो, तो सर्टिफ़िकेट बदलें. Google Admin console में, सुरक्षा इसके बाद तीसरे पक्ष के आईडीपी की मदद से सिंगल साइन-ऑन (एसएसओ) सेट अप करें पर जाएं और सर्टिफ़िकेट बदलें पर क्लिक करें.
  • अगर NameID एलिमेंट में पूरे ईमेल पते का इस्तेमाल किया जा रहा है, तो पक्का करें कि NameID एलिमेंट के Format एट्रिब्यूट में यह बताया गया हो कि पूरे ईमेल पते का इस्तेमाल करना है. जैसे, इस उदाहरण में: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress". (अगर मल्टी-डोमेन Apps एनवायरमेंट के साथ एसएसओ का इस्तेमाल किया जा रहा है, तो पूरे ईमेल पते का इस्तेमाल करना ज़रूरी है).
  • पक्का करें कि NameID एलिमेंट में कोई मान्य उपयोगकर्ता नाम या ईमेल पता डाला गया हो. यह पक्का करने के लिए, Google Workspace को भेजा जा रहा एसएएमएल रिस्पॉन्स एक्सट्रैक्ट करें और NameID एलिमेंट की वैल्यू देखें.
  • NameID केस-सेंसिटिव होता है. इसलिए, पक्का करें कि एसएएमएल रिस्पॉन्स में NameID में ऐसी वैल्यू डाली गई हो जो Google Workspace के उपयोगकर्ता नाम या ईमेल पते के केस से मेल खाती हो.
  • अगर आपका आइडेंटिटी प्रोवाइडर, एसएएमएल असर्शन को एन्क्रिप्ट कर रहा है, तो एन्क्रिप्शन की सुविधा बंद करें.
  • पक्का करें कि एसएएमएल रिस्पॉन्स में, स्टैंडर्ड के मुताबिक न होने वाले कोई भी ASCII वर्ण शामिल न हों. आम तौर पर, यह समस्या AttributeStatement में मौजूद DisplayName, GivenName, और Surname एट्रिब्यूट में होती है. उदाहरण के लिए:
    • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
      <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
    • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
      <AttributeValue>Blüte</AttributeValue> </Attribute>

NameID एलिमेंट को फ़ॉर्मैट करने के तरीके के बारे में ज़्यादा जानने के लिए, एसएसओ असर्शन की ज़रूरी शर्तें देखें.

"इस सेवा को ऐक्सेस नहीं किया जा सकता, क्योंकि आपके लॉगइन क्रेडेंशियल्स की समयावधि खत्म हो गई है. कृपया लॉग इन करें और फिर से कोशिश करें."

सुरक्षा की वजहों से, एसएसओ लॉगिन फ़्लो को तय समयसीमा के अंदर पूरा करना ज़रूरी है. ऐसा न होने पर, पुष्टि की प्रोसेस पूरी नहीं हो पाती. अगर आपके आइडेंटिटी प्रोवाइडर पर मौजूद घड़ी गलत है, तो ज़्यादातर या सभी लॉगिन की कोशिशें, तय समयसीमा से बाहर दिखेंगी. साथ ही, पुष्टि की प्रोसेस पूरी नहीं हो पाएगी और ऊपर दिया गया गड़बड़ी का मैसेज दिखेगा.

  • अपने आइडेंटिटी प्रोवाइडर के सर्वर पर मौजूद घड़ी देखें. आम तौर पर, यह गड़बड़ी आइडेंटिटी प्रोवाइडर की घड़ी के गलत होने की वजह से होती है. इससे एसएएमएल रिस्पॉन्स में गलत टाइमस्टैंप जुड़ जाते हैं.
  • आइडेंटिटी प्रोवाइडर के सर्वर की घड़ी को, इंटरनेट पर मौजूद किसी भरोसेमंद टाइम सर्वर के साथ फिर से सिंक करें. आम तौर पर, प्रोडक्शन एनवायरमेंट में यह समस्या अचानक तब होती है, जब पिछली बार टाइम सिंक नहीं हो पाता. इससे सर्वर का समय गलत हो जाता है. टाइम सिंक को दोहराने पर (शायद किसी ज़्यादा भरोसेमंद टाइम सर्वर के साथ), इस समस्या को तुरंत ठीक किया जा सकता है.
  • यह समस्या तब भी हो सकती है, जब एसएएमएल को पिछली लॉगिन की कोशिश से फिर से भेजा जा रहा हो. एसएएमएल अनुरोध और रिस्पॉन्स की जांच करने से, इस समस्या को डीबग करने में मदद मिल सकती है. इन्हें लॉगिन की कोशिश के दौरान कैप्चर किए गए एचटीटीपी हेडर लॉग से हासिल किया जा सकता है.

"इस सेवा को ऐक्सेस नहीं किया जा सकता, क्योंकि आपके लॉगिन क्रेडेंशियल अब भी मान्य नहीं हैं. कृपया लॉग इन करें और फिर से कोशिश करें."

सुरक्षा की वजहों से, एसएसओ लॉगिन फ़्लो को तय समयसीमा के अंदर पूरा करना ज़रूरी है. ऐसा न होने पर, पुष्टि की प्रोसेस पूरी नहीं हो पाती. अगर आपके आइडेंटिटी प्रोवाइडर पर मौजूद घड़ी गलत है, तो ज़्यादातर या सभी लॉगिन की कोशिशें, तय समयसीमा से बाहर दिखेंगी. साथ ही, पुष्टि की प्रोसेस पूरी नहीं हो पाएगी और ऊपर दिया गया गड़बड़ी का मैसेज दिखेगा.

  • अपने आइडेंटिटी प्रोवाइडर के सर्वर पर मौजूद घड़ी देखें. आम तौर पर, यह गड़बड़ी आइडेंटिटी प्रोवाइडर की घड़ी के गलत होने की वजह से होती है. इससे एसएएमएल रिस्पॉन्स में गलत टाइमस्टैंप जुड़ जाते हैं.
  • आइडेंटिटी प्रोवाइडर के सर्वर की घड़ी को, इंटरनेट पर मौजूद किसी भरोसेमंद टाइम सर्वर के साथ फिर से सिंक करें. आम तौर पर, प्रोडक्शन एनवायरमेंट में यह समस्या अचानक तब होती है, जब पिछली बार टाइम सिंक नहीं हो पाता. इससे सर्वर का समय गलत हो जाता है. टाइम सिंक को दोहराने पर (शायद किसी ज़्यादा भरोसेमंद टाइम सर्वर के साथ), इस समस्या को तुरंत ठीक किया जा सकता है.