Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

सिंगल साइन-ऑन (एसएसओ) से जुड़ी समस्या हल करना

इस दस्तावेज़ में, Google Workspace के साथ सिंगल साइन-ऑन (एसएसओ) को इंटिग्रेट करने या उसका इस्तेमाल करने के दौरान दिखने वाली सामान्य गड़बड़ी के मैसेज को ठीक करने का तरीका बताया गया है. इसमें Google, सेवा देने वाली कंपनी (एसपी) के तौर पर काम करता है.

कॉन्फ़िगरेशन और ऐक्टिवेशन

"इस डोमेन को सिंगल साइन-ऑन का इस्तेमाल करने के लिए कॉन्फ़िगर नहीं किया गया है."

आम तौर पर, यह गड़बड़ी तब दिखती है, जब Google Workspace के ऐसे वर्शन का इस्तेमाल किया जा रहा हो जिसमें एसएसओ की सुविधा उपलब्ध न हो. जैसे, G Suite का लेगसी मुफ़्त वर्शन. Workspace editions के सभी मौजूदा वर्शन में, तीसरे पक्ष के आइडेंटिटी प्रोवाइडर (आईडीपी) की मदद से एसएसओ की सुविधा उपलब्ध है.

अगर Google Workspace के ऐसे वर्शन का इस्तेमाल किया जा रहा है जिसमें एसएसओ की सुविधा उपलब्ध है, तो इन अन्य तरीकों को आज़माएं:

पक्का करें कि आपके आईडीपी के एसएसओ कॉन्फ़िगरेशन में, Google Workspace के सही डोमेन नेम का इस्तेमाल किया गया हो.
अगर एसएसओ प्रोफ़ाइल सेट अप करने के बाद यह गड़बड़ी दिखती है, तो हो सकता है कि आपका आईडीपी, एसएएमएल असर्शन को लेगसी एसएसओ प्रोफ़ाइल के एंडपॉइंट पर भेज रहा हो. अगर आपके आईडीपी में लेगसी एसएसओ एंडपॉइंट हार्ड-कोड किया गया है, तो कृपया यह तरीका अपनाएं:
1. लेगसी एसएसओ सेट अप करें.
2. अपने आईडीपी वेंडर से, Google के साथ इंटिग्रेशन को अपडेट करने के लिए कहें.

"डोमेन को गलत तरीके से कॉन्फ़िगर किए जाने की वजह से, इस खाते को ऐक्सेस नहीं किया जा सकता. कृपया बाद में फिर से कोशिश करें."

इस गड़बड़ी से पता चलता है कि आपने Google Admin console में एसएसओ को सही तरीके से सेट अप नहीं किया है. इस समस्या को ठीक करने के लिए, यह तरीका अपनाएं:

Admin console में, सुरक्षा तीसरे पक्ष के आईडीपी की मदद से सिंगल साइन-ऑन (एसएसओ) सेट अप करें पर जाएं और तीसरे पक्ष के आइडेंटिटी प्रोवाइडर की मदद से एसएसओ सेट अप करें को चुनें.
अपने संगठन के साइन-इन पेज, साइन-आउट पेज, और पासवर्ड बदलने वाले पेज के यूआरएल, उनसे जुड़े फ़ील्ड में डालें.
पुष्टि करने के लिए, मान्य सर्टिफ़िकेट फ़ाइल चुनें और अपलोड करें.
सेव करें पर क्लिक करें. इसके बाद, बदलाव लागू होने में कुछ मिनट लग सकते हैं. इसके बाद, इंटिग्रेशन की फिर से जांच करें.

Google किरायेदार को, अनुमति न दिए गए प्रीफ़िक्स के साथ कॉन्फ़िगर किया गया है

iOS ऐप्लिकेशन के साथ, जब एसएसओ साइन-इन पेज का यूआरएल "google." से शुरू होता है (या कोई अन्य वेरिएशन), तो Google iOS ऐप्लिकेशन को Safari पर रीडायरेक्ट कर दिया जाता है. इस वजह से, एसएसओ की प्रोसेस पूरी नहीं हो पाती. अनुमति न दिए गए प्रीफ़िक्स की पूरी सूची यहां दी गई है:

googl.
google.
www.googl.
www.google.

आपको एसएसओ साइन-इन पेज के उन सभी यूआरएल में बदलाव करना होगा जिनमें ये प्रीफ़िक्स मौजूद हैं.

एसएएमएल रिस्पॉन्स को पार्स करना

"ज़रूरी रिस्पॉन्स पैरामीटर SAMLResponse मौजूद नहीं था"

गड़बड़ी के इस मैसेज से पता चलता है कि आपका आइडेंटिटी प्रोवाइडर, Google को किसी तरह का मान्य एसएएमएल रिस्पॉन्स नहीं दे रहा है. इस समस्या की वजह, आइडेंटिटी प्रोवाइडर में कॉन्फ़िगरेशन से जुड़ी कोई गड़बड़ी हो सकती है.

अपने आइडेंटिटी प्रोवाइडर के लॉग देखें और पक्का करें कि एसएएमएल रिस्पॉन्स को सही तरीके से वापस करने में कोई समस्या न हो.
पक्का करें कि आपका आइडेंटिटी प्रोवाइडर, Google Workspace को एन्क्रिप्ट किया गया एसएएमएल रिस्पॉन्स न भेज रहा हो. Google Workspace, सिर्फ़ एन्क्रिप्ट न किए गए एसएएमएल रिस्पॉन्स स्वीकार करता है. कृपया ध्यान दें कि Microsoft की Active Directory Federation Services 2.0, अक्सर डिफ़ॉल्ट कॉन्फ़िगरेशन में एन्क्रिप्ट किए गए एसएएमएल रिस्पॉन्स भेजती है.

"ज़रूरी रिस्पॉन्स पैरामीटर RelayState मौजूद नहीं था"

एसएएमएल 2.0 स्पेसिफ़िकेशन के मुताबिक, आइडेंटिटी प्रोवाइडर को रिसॉर्स प्रोवाइडर (जैसे, Google Workspace) से RelayState यूआरएल पैरामीटर वापस पाना और भेजना होता है. Google Workspace, एसएएमएल अनुरोध में आइडेंटिटी प्रोवाइडर को यह वैल्यू देता है. साथ ही, हर लॉगिन में इसका कॉन्टेंट अलग-अलग हो सकता है. पुष्टि की प्रोसेस पूरी होने के लिए, एसएएमएल रिस्पॉन्स में RelayState की सही वैल्यू वापस मिलनी चाहिए. एसएएमएल स्टैंडर्ड स्पेसिफ़िकेशन के मुताबिक, लॉगिन फ़्लो के दौरान आपका आइडेंटिटी प्रोवाइडर, RelayState में बदलाव नहीं कर सकता.

लॉगिन की कोशिश के दौरान, एचटीटीपी हेडर कैप्चर करके इस समस्या के बारे में ज़्यादा जानकारी पाएं. एसएएमएल अनुरोध और रिस्पॉन्स, दोनों के साथ एचटीटीपी हेडर से RelayState एक्सट्रैक्ट करें. साथ ही, पक्का करें कि अनुरोध और रिस्पॉन्स में RelayState की वैल्यू एक जैसी हों.
वाणिज्यिक तौर पर उपलब्ध या ओपन-सोर्स एसएसओ आइडेंटिटी प्रोवाइडर, डिफ़ॉल्ट रूप से RelayState को आसानी से ट्रांसमिट करते हैं. सुरक्षा और भरोसेमंद तरीके से काम करने के लिए, हमारा सुझाव है कि आप इनमें से किसी मौजूदा समाधान का इस्तेमाल करें. हम आपके कस्टम एसएसओ सॉफ़्टवेयर के लिए सहायता उपलब्ध नहीं करा सकते.

एसएएमएल रिस्पॉन्स का कॉन्टेंट

"आपके लॉगिन अनुरोध में [destination|audience|recipient] की अमान्य जानकारी होने की वजह से, इस सेवा को ऐक्सेस नहीं किया जा सकता. कृपया लॉग इन करें और फिर से कोशिश करें."

इस गड़बड़ी से पता चलता है कि एसएएमएल असर्शन में मौजूद destination, audience या recipient एलिमेंट में अमान्य जानकारी थी या वे खाली थे. एसएएमएल असर्शन में सभी एलिमेंट शामिल होने चाहिए. हर एलिमेंट की जानकारी और उदाहरण के लिए, एसएसओ असर्शन की ज़रूरी शर्तें में मौजूद ये टेबल देखें:

"आपके लॉगिन अनुरोध में पाने वाले की कोई जानकारी शामिल नहीं होने की वजह से, इस सेवा को ऐक्सेस नहीं किया जा सकता. कृपया लॉग इन करें और फिर से कोशिश करें."

आम तौर पर, इस गड़बड़ी से पता चलता है कि आपके आइडेंटिटी प्रोवाइडर के एसएएमएल रिस्पॉन्स में, Recipient की ऐसी वैल्यू मौजूद नहीं है जिसे पढ़ा जा सके. इसके अलावा, यह भी हो सकता है कि Recipient की वैल्यू गलत हो. Recipient की वैल्यू, एसएएमएल रिस्पॉन्स का एक अहम हिस्सा होती है.

लॉगिन की कोशिश के दौरान, एचटीटीपी हेडर कैप्चर करके इस समस्या के बारे में ज़्यादा जानकारी पाएं.
एचटीटीपी हेडर से एसएएमएल अनुरोध और रिस्पॉन्स एक्सट्रैक्ट करें.
पक्का करें कि एसएएमएल रिस्पॉन्स में Recipient की वैल्यू मौजूद हो और वह एसएएमएल अनुरोध में मौजूद वैल्यू से मेल खाती हो.

ध्यान दें: गड़बड़ी का यह मैसेज, "आपके लॉगिन अनुरोध में पाने वाले की अमान्य जानकारी होने की वजह से, इस सेवा को ऐक्सेस नहीं किया जा सकता. कृपया लॉग इन करें और फिर से कोशिश करें." के तौर पर भी दिख सकता है

इस गड़बड़ी से पता चलता है कि पुष्टि करने के फ़्लो पर हस्ताक्षर करने के लिए इस्तेमाल किए जा रहे सर्टिफ़िकेट में कोई समस्या है. आम तौर पर, इसका मतलब है कि एसएएमएल रिस्पॉन्स पर हस्ताक्षर करने के लिए इस्तेमाल की गई निजी कुंजी, Google Workspace के पास मौजूद सार्वजनिक कुंजी सर्टिफ़िकेट से मेल नहीं खाती.

यह गड़बड़ी तब भी हो सकती है, जब आपके एसएएमएल रिस्पॉन्स में Google खातों का मान्य उपयोगकर्ता नाम न हो. Google Workspace, एसएएमएल रिस्पॉन्स को पार्स करके, NameID नाम का एक्सएमएल एलिमेंट ढूंढता है. साथ ही, उसे उम्मीद होती है कि इस एलिमेंट में Google Workspace का उपयोगकर्ता नाम या Google Workspace का पूरा ईमेल पता मौजूद होगा.

पक्का करें कि आपने Google Workspace पर मान्य सर्टिफ़िकेट अपलोड किया हो. साथ ही, अगर ज़रूरी हो, तो सर्टिफ़िकेट बदलें. Google Admin console में, सुरक्षा तीसरे पक्ष के आईडीपी की मदद से सिंगल साइन-ऑन (एसएसओ) सेट अप करें पर जाएं और सर्टिफ़िकेट बदलें पर क्लिक करें.
अगर NameID एलिमेंट में पूरे ईमेल पते का इस्तेमाल किया जा रहा है, तो पक्का करें कि NameID एलिमेंट के Format एट्रिब्यूट में यह बताया गया हो कि पूरे ईमेल पते का इस्तेमाल करना है. जैसे, Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress". अगर मल्टी-डोमेन Apps एनवायरमेंट के साथ एसएसओ का इस्तेमाल किया जा रहा है, तो आपको पूरे ईमेल पते का इस्तेमाल करना होगा.
पक्का करें कि NameID एलिमेंट में मान्य उपयोगकर्ता नाम या ईमेल पता डाला गया हो. यह पक्का करने के लिए, Google Workspace को भेजा जा रहा एसएएमएल रिस्पॉन्स एक्सट्रैक्ट करें और NameID एलिमेंट की वैल्यू देखें.
NameID केस-सेंसिटिव होता है. इसलिए, पक्का करें कि एसएएमएल रिस्पॉन्स में NameID के लिए ऐसी वैल्यू डाली गई हो जो Google Workspace के उपयोगकर्ता नाम या ईमेल पते के केस से मेल खाती हो.
अगर आपका आइडेंटिटी प्रोवाइडर, एसएएमएल असर्शन को एन्क्रिप्ट कर रहा है, तो एन्क्रिप्शन की सुविधा बंद करें.
पक्का करें कि एसएएमएल रिस्पॉन्स में, स्टैंडर्ड के मुताबिक न होने वाले कोई भी ASCII वर्ण शामिल न हों. आम तौर पर, यह समस्या AttributeStatement में मौजूद DisplayName, GivenName, और Surname एट्रिब्यूट में होती है. उदाहरण के लिए:
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
  <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
  <AttributeValue>Blüte</AttributeValue> </Attribute>

NameID एलिमेंट को फ़ॉर्मैट करने के तरीके के बारे में ज़्यादा जानने के लिए, एसएसओ असर्शन की ज़रूरी शर्तें देखें.

"आपके लॉगिन क्रेडेंशियल की समयसीमा खत्म हो जाने की वजह से, इस सेवा को ऐक्सेस नहीं किया जा सकता. कृपया लॉग इन करें और फिर से कोशिश करें."

सुरक्षा की वजहों से, एसएसओ लॉगिन फ़्लो को तय समयसीमा के अंदर पूरा करना ज़रूरी है. ऐसा न होने पर, पुष्टि की प्रोसेस पूरी नहीं हो पाती. अगर आपके आइडेंटिटी प्रोवाइडर पर मौजूद घड़ी गलत है, तो ज़्यादातर या सभी लॉगिन की कोशिशें, तय समयसीमा से बाहर दिखेंगी. साथ ही, पुष्टि की प्रोसेस पूरी नहीं हो पाएगी और ऊपर दिया गया गड़बड़ी का मैसेज दिखेगा.

अपने आइडेंटिटी प्रोवाइडर के सर्वर पर मौजूद घड़ी देखें. आम तौर पर, यह गड़बड़ी तब होती है, जब आइडेंटिटी प्रोवाइडर पर मौजूद घड़ी गलत होती है. इससे एसएएमएल रिस्पॉन्स में गलत टाइमस्टैंप जुड़ जाते हैं.
आइडेंटिटी प्रोवाइडर के सर्वर की घड़ी को, इंटरनेट पर मौजूद भरोसेमंद टाइम सर्वर के साथ फिर से सिंक करें. जब प्रोडक्शन एनवायरमेंट में अचानक यह समस्या होती है, तो आम तौर पर इसकी वजह यह होती है कि पिछली बार टाइम सिंक नहीं हो पाया था. इस वजह से, सर्वर का समय गलत हो जाता है. टाइम सिंक को दोहराने से (शायद किसी ज़्यादा भरोसेमंद टाइम सर्वर के साथ), इस समस्या को तुरंत ठीक किया जा सकता है.
यह समस्या तब भी हो सकती है, जब एसएएमएल को पिछली लॉगिन की कोशिश से फिर से भेजा जा रहा हो. लॉगिन की कोशिश के दौरान कैप्चर किए गए एचटीटीपी हेडर लॉग से मिले एसएएमएल अनुरोध और रिस्पॉन्स की जांच करके, इस समस्या को डीबग किया जा सकता है.

"आपके लॉगिन क्रेडेंशियल अब भी मान्य नहीं होने की वजह से, इस सेवा को ऐक्सेस नहीं किया जा सकता. कृपया लॉग इन करें और फिर से कोशिश करें."

अपने आइडेंटिटी प्रोवाइडर के सर्वर पर मौजूद घड़ी देखें. आम तौर पर, यह गड़बड़ी तब होती है, जब आइडेंटिटी प्रोवाइडर पर मौजूद घड़ी गलत होती है. इससे एसएएमएल रिस्पॉन्स में गलत टाइमस्टैंप जुड़ जाते हैं.
आइडेंटिटी प्रोवाइडर के सर्वर की घड़ी को, इंटरनेट पर मौजूद भरोसेमंद टाइम सर्वर के साथ फिर से सिंक करें. जब प्रोडक्शन एनवायरमेंट में अचानक यह समस्या होती है, तो आम तौर पर इसकी वजह यह होती है कि पिछली बार टाइम सिंक नहीं हो पाया था. इस वजह से, सर्वर का समय गलत हो जाता है. टाइम सिंक को दोहराने से (शायद किसी ज़्यादा भरोसेमंद टाइम सर्वर के साथ), इस समस्या को तुरंत ठीक किया जा सकता है.