تحديد مشاكل "الدخول المُوحَّد" وحلّها

"لم يتم ضبط هذا النطاق على استخدام خدمة "الدخول المُوحَّد"".

يشير هذا الخطأ عادةً إلى أنّك تستخدم إصدارًا من Google Workspace لا يتيح خدمة "الدخول المُوحَّد" (مثل الإصدار المجاني القديم من G Suite). تتيح جميع إصدارات Workspace الحالية إمكانية الدخول المُوحَّد (SSO) من خلال موفِّر هوية تابع لجهة خارجية.

إذا كنت تستخدم إصدارًا من Google Workspace يتيح ميزة "تسجيل الدخول المُوحّد"، جرِّب الحلول الأخرى التالية:

• تأكَّد من أنّ إعدادات "الدخول المُوحَّد" في موفِّر الهوية تستخدم اسم نطاق Google Workspace الصحيح.
• إذا ظهر لك هذا الخطأ بعد إعداد ملفات الدخول المُوحَّد، قد يكون موفِّر الهوية مضبوطًا على إرسال تأكيد SAML إلى نقطة نهاية ملف الدخول المُوحَّد القديم. إذا كانت نقطة نهاية الدخول المُوحَّد القديمة مبرمَجة بشكل ثابت في موفِّر الهوية، يُرجى اتّخاذ الإجراءات التالية:
  1. إعداد الدخول المُوحَّد القديم
  2. اطلب من موفِّر خدمة IdP تعديل عملية الدمج مع Google.

"لا يمكن الدخول إلى هذا الحساب بسبب التهيئة الخاطئة للنطاق. يُرجى إعادة المحاولة لاحقًا".

يشير هذا الخطأ إلى أنه لم يتم إعداد "الدخول المُوحَّد" بشكل صحيح في وحدة تحكُّم المشرف في Google. يُرجى مراجعة الخطوات التالية لتصحيح هذا الوضع:

1. في "وحدة تحكّم المشرف"، انتقِل إلى الأمان إعداد الدخول المُوحَّد (SSO) باستخدام موفِّر هوية تابع لجهة خارجية، وضَع علامة في المربّع إعداد الدخول المُوحَّد (SSO) باستخدام موفِّر هوية تابع لجهة خارجية.
2. أدخِل عناوين URL لصفحة تسجيل الدخول والخروج وصفحة تغيير كلمة المرور لمؤسستك في الحقول المناسبة.
3. اختَر ملف شهادة تحقّق صالحًا وحمِّله.
4. انقر على حفظ، ثم انتظر بضع دقائق حتى تصبح التغييرات سارية المفعول، واختبر الدمج مرة أخرى.

إعداد مستأجر Google باستخدام بادئة محظورة

ومع تطبيقات iOS، إذا بدأ عنوان URL لصفحة تسجيل الدخول الموحد (SSO) ببادئة "google." (أو بعض مشتقاتها)، تتم إعادة توجيه تطبيق Google على نظام التشغيل iOS إلى Safari. يؤدي ذلك إلى تعذُّر عملية الدخول المُوحَّد (SSO). في ما يلي القائمة الكاملة بالبادئات الممنوعة:

• googl.
• google.
• www.googl.
• www.google.

ستحتاج إلى تغيير أي عناوين URL لصفحات تسجيل الدخول الموحَّد (SSO) تتضمن هذه البادئات.

"معلمة الاستجابة المطلوبة SAMLResponse مفقودة"

تشير رسالة الخطأ هذه إلى أن خدمة "موفِّر الهوية" لم تقدّم إلى Google استجابة SAML صالحة من أي نوع. هناك احتمال كبير أن تظهر هذه المشكلة نتيجةً لمشكلة في الإعداد لدى موفّر الهوية.

• تحقق من سجلات موفر الهوية وتأكد من عدم وجود ما يمنع من عرض استجابة SAML بشكل صحيح.
• تأكَّد من أنّ خدمة "موفِّر الهوية" لم ترسِل استجابة SAML مشفّرة إلى Google Workspace. لا تقبل خدمة Google Workspace سوى استجابات SAML غير المشفّرة. وبشكلِ خاص، يُرجى ملاحظة أن برنامجActive Directory Federation Services 2.0 التابع لـ Microsoft يرسل في كثير من الأحيان استجابات SAML مشفرة في عمليات الإعداد التلقائية.

"معلمة الاستجابة المطلوبة RelayState مفقودة"

تتطلب مواصفات SAML 2.0 من موفّري الهوية استرداد معلمة عنوان URL ‏‏RelayState من موفّري الموارد (مثل Google Workspace) وإعادة إرسالها. توفّر Google Workspace هذه القيمة إلى موفّر الهوية في طلب SAML، وقد يختلف المحتوى بعينه في كل عملية تسجيل دخول. ولإكمال المصادقة بنجاح، يجب ظهور RelayState بالتحديد في استجابة SAML. وفقًا لمواصفات SAML العادية، يجب ألا تعدّل خدمة "موفِّر الهوية" RelayState أثناء إجراءات تسجيل الدخول.

• يمكنك تشخيص هذه المشكلة على نطاق أوسع من خلال التقاط عناوين HTTP أثناء محاولة تسجيل الدخول. يمكنك استخراج RelayState‏ من رؤوس HTTP مع كل من طلب واستجابة SAML والتأكد من أن قيم RelayState‏ في الطلب والاستجابة متطابقة.
• ينقل معظم موفّري هوية الدخول الموحّد (SSO) المتاحة تجاريًا أو مفتوحة المصدر RelayState‏ بسلاسة بشكل تلقائي. لتحقيق أقصى قدر من الأمان والموثوقية، ننصحك باستخدام أحد هذه الحلول المتوفرة حاليًا، ولن نتمكن من تقديم دعم لبرنامج الدخول الموحّد (SSO) المخصص الذي تستخدمه.

لا يمكن الوصول إلى هذه الخدمة لأن طلب تسجيل الدخول يحتوي على معلومات [الوجهة|الجمهور|المستلم] غير صالحة. يُرجى تسجيل الدخول وإعادة المحاولة".

يشير هذا الخطأ إلى احتواء عناصر الوجهة أو الجمهور أو المستلم في تأكيد SAML على معلومات غير صالحة أو عدم احتوائهما على أي معلومات. يجب تضمين جميع العناصر في تأكيد SAML. يُرجى مراجعة الجداول التالية في متطلبات تأكيد خدمة الدخول المُوحَّد (SSO) للحصول على أوصاف وأمثلة لكل عنصر:

• استخدام العناصر والسمات: الملفات الشخصية للدخول المُوحَّد
• استخدام العناصر والسمات: الملف الشخصي القديم للدخول المُوحَّد (SSO)

"لا يمكن الوصول إلى هذه الخدمة؛ لأن طلب تسجيل الدخول لا يحتوي على أي معلومات للمستلم. يُرجى تسجيل الدخول وإعادة المحاولة".

يشير هذا الخطأ عادة إلى أن استجابة SAML الواردة من موفّر الهوية تفتقر إلى قيمة مستلم قابلة للقراءة (أو أن قيمة المستلم غير صحيحة). وقيمة المستلِم هي مكوِّن مهم من استجابة SAML.

1. يمكنك تشخيص هذه المشكلة على نطاق أوسع من خلال التقاط عناوين HTTP أثناء محاولة تسجيل الدخول.
2. يمكنك استخراج طلب واستجابة SAML من عناوين HTTP.
3. تأكد من أن قيمة المستلم في استجابة SAML موجودة وأنها تتطابق مع القيمة الموجودة في طلب SAML.

ملاحظة: قد تظهر رسالة الخطأ هذه أيضًا كما يلي: "لا يمكن الدخول إلى هذه الخدمة لأن طلب تسجيل الدخول يحتوي على معلومات مستلم غير صالحة. يُرجى تسجيل الدخول وإعادة المحاولة".

"لا يمكن الدخول إلى هذا الحساب بسبب عدم إمكانية التحقق من بيانات اعتماد تسجيل الدخول."

يشير هذا الخطأ إلى وجود مشكلة في الشهادات التي تستخدمها للتوقيع على إجراءات المصادقة. ويعني ذلك عادةً أنّ المفتاح الخاص المستخدَم للتوقيع على استجابة SAML لا يتطابق مع شهادة المفتاح العام المحفوظة لدى Google Workspace في ملف.

ويمكن أن يحدث ذلك أيضًا إذا لم تحتوي استجابة SAML على اسم مستخدم صالح في حسابات Google. يحلّل Google Workspace استجابة SAML لعنصر تنسيق XML المُسمى NameID، ويتوقع أن يحتوي هذا العنصر على اسم مستخدم Google Workspace أو عنوان بريد إلكتروني كامل على Google Workspace.

• تأكَّد من تحميل شهادة صالحة إلى Google Workspace، واستبدِل الشهادة إذا لزم الأمر. في "وحدة تحكّم المشرف" في Google، انتقِل إلى الأمان إعداد الدخول المُوحَّد (SSO) باستخدام موفِّر هوية تابع لجهة خارجية وانقر على استبدال الشهادة.
• إذا كنت تستخدم عنوان بريد إلكتروني كاملاً في العنصر NameID (يجب استخدامه في حال استخدام "الدخول المُوحَّد" في بيئة تطبيقات متعدّدة النطاقات)، عليك التأكَّد من أنّ سمة Format للعنصر NameID تحدّد أنه يجب استخدام عنوان بريد إلكتروني كامل، كما في المثال التالي: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
• تأكَّد من تعبئة حقل العنصر NameID باسم مستخدم أو عنوان بريد إلكتروني صالح. ولكي تتأكّد من ذلك، يمكنك استخراج استجابة SAML التي ترسِلها إلى Google Workspace، والتحقّق من قيمة العنصر NameID.
• NameID حسّاس لحالة الأحرف: تأكَّد من تعبئة استجابة SAML لحقل NameID بقيمة تتطابق مع حالة اسم مستخدم Google Workspace أو عنوان بريده الإلكتروني.
• إذا كانت خدمة "موفِّر الهوية" تشفِّر تأكيد SAML، ما عليك سوى إيقاف ذلك التشفير.
• تأكَّد من أنّ استجابة SAML لا تتضمن أي أحرف ASCII غير عادية. تحدث هذه المشكلة عمومًا في السمات DisplayName وGivenName وSurname في AttributeStatement، على سبيل المثال:
  • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
  • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
    <AttributeValue>Blüte</AttributeValue> </Attribute>

للتعرُّف على مزيد من المعلومات عن كيفية تنسيق عنصر NameID، يُرجى الاطّلاع على متطلبات تأكيد خدمة "الدخول الموحّد" (SSO).

"لا يمكن الوصول إلى هذه الخدمة نظرًا لانتهاء صلاحية بيانات اعتماد تسجيل الدخول. يُرجى تسجيل الدخول وإعادة المحاولة".

لأسباب أمنية، يجب إكمال إجراءات تسجيل الدخول في خدمة الدخول الموحّد (SSO) ضمن إطار زمني معين، وإلا فستفشل عملية المصادقة. إذا كانت الساعة المعروضة في موفّر الهوية غير صحيحة، ستبدو معظم أو جميع محاولات تسجيل الدخول أنها خارج الإطار الزمني المقبول، وستتعذر المصادقة وتظهر رسالة الخطأ أعلاه.

• تحقق من الساعة المعروضة في خادم موفّر الهوية. يحدث هذا الخطأ عادة عندما لا تكون ساعة موفّر الهوية صحيحة، وبذلك تتم إضافة طوابع زمنية غير صحيحة إلى استجابة SAML.
• أعد مزامنة ساعة خادم موفّر الهوية مع خادم توقيت موثوق به على الإنترنت. عند حدوث هذه المشكلة فجأة في بيئة إنتاج، فهي في العادة ناتجة عن تعذّر المزامنة الأخيرة، ما يؤدي إلى عدم دقة الخادم. يؤدي تكرار مزامنة الوقت (مع خادم توقيت أكثر موثوقية) إلى حل هذه المشكلة بسرعة.
• قد تحدث هذه المشكلة أيضًا إذا كنت تعيد إرسال SAML من محاولة تسجيل دخول سابقة. يمكن أن يساعدك فحص طلب واستجابة SAML (اللذان تم الحصول عليهما من سجلات عنوان HTTP التي تم التقاطها أثناء محاولة تسجيل الدخول) في تصحيح هذا الخطأ إلى حد كبير.

"لا يمكن الدخول إلى هذه الخدمة نظرًا لأن بيانات اعتماد تسجيل الدخول ليست صالحة بعد. يُرجى تسجيل الدخول وإعادة المحاولة".

لأسباب أمنية، يجب إكمال إجراءات تسجيل الدخول في خدمة الدخول الموحّد (SSO) ضمن إطار زمني معين، وإلا فستفشل عملية المصادقة. إذا كانت الساعة المعروضة في موفّر الهوية غير صحيحة، ستبدو معظم أو جميع محاولات تسجيل الدخول أنها خارج الإطار الزمني المقبول، وستتعذر المصادقة وتظهر رسالة الخطأ أعلاه.

• تحقق من الساعة المعروضة في خادم موفّر الهوية. يحدث هذا الخطأ عادة عندما لا تكون ساعة موفّر الهوية صحيحة، وبذلك تتم إضافة طوابع زمنية غير صحيحة إلى استجابة SAML.
• أعد مزامنة ساعة خادم موفّر الهوية مع خادم توقيت موثوق به على الإنترنت. عند حدوث هذه المشكلة فجأة في بيئة إنتاج، فهي في العادة ناتجة عن تعذّر المزامنة الأخيرة، ما يؤدي إلى عدم دقة الخادم. يؤدي تكرار مزامنة الوقت (مع خادم توقيت أكثر موثوقية) إلى حل هذه المشكلة بسرعة.