تحديد مشاكل "الدخول المُوحَّد" وحلّها

يتناول هذا المستند خطوات حلّ رسائل الخطأ الشائعة التي قد تظهر لك أثناء دمج خدمة الدخول الموحّد (SSO) في Google Workspace أو أثناء استخدامها عندما تكون Google هي مقدِّم الخدمة (SP).

الضبط والتفعيل

"لم يتم ضبط هذا النطاق على استخدام خدمة "الدخول المُوحَّد"".

يشير هذا الخطأ عادةً إلى أنّك تستخدم إصدارًا من Google Workspace لا يتيح خدمة "الدخول المُوحَّد" (مثل الإصدار المجاني القديم من G Suite). تتيح جميع إصدارات Workspace الحالية إمكانية الدخول المُوحَّد (SSO) من خلال موفِّر هوية تابع لجهة خارجية.

إذا كنت تستخدم إصدارًا من Google Workspace يتيح ميزة "تسجيل الدخول المُوحّد"، جرِّب الحلول الأخرى التالية:

  • تأكَّد من أنّ إعدادات "الدخول المُوحَّد" في موفِّر الهوية تستخدم اسم نطاق Google Workspace الصحيح.
  • إذا ظهر لك هذا الخطأ بعد إعداد ملفات الدخول المُوحَّد، قد يكون موفِّر الهوية مضبوطًا على إرسال تأكيد SAML إلى نقطة نهاية ملف الدخول المُوحَّد القديم. إذا كانت نقطة نهاية الدخول المُوحَّد القديمة مبرمَجة بشكل ثابت في موفِّر الهوية، يُرجى اتّخاذ الإجراءات التالية:
    1. إعداد الدخول المُوحَّد القديم
    2. اطلب من موفِّر خدمة IdP تعديل عملية الدمج مع Google.

"لا يمكن الوصول إلى هذا الحساب بسبب عدم إعداد النطاق بشكلٍ صحيح. يُرجى إعادة المحاولة لاحقًا."

يشير هذا الخطأ إلى أنّه لم يتم إعداد "الدخول المُوحَّد" بشكل صحيح في "وحدة تحكّم المشرف في Google". يُرجى مراجعة الخطوات التالية لتصحيح هذا الوضع:

  1. في "وحدة تحكّم المشرف"، انتقِل إلى الأمان ثمإعداد الدخول المُوحَّد (SSO) باستخدام موفِّر هوية تابع لجهة خارجية، وضَع علامة في المربّع إعداد الدخول المُوحَّد (SSO) باستخدام موفِّر هوية تابع لجهة خارجية.
  2. أدخِل عناوين URL لصفحة تسجيل الدخول والخروج وصفحة تغيير كلمة المرور لمؤسستك في الحقول المناسبة.
  3. اختَر ملف شهادة تحقّق صالحًا وحمِّله.
  4. انقر على حفظ، ثم انتظر بضع دقائق حتى تصبح التغييرات سارية المفعول، واختبر الدمج مرة أخرى.

إعداد مستأجر Google باستخدام بادئة محظورة

مع تطبيقات iOS، إذا بدأ عنوان URL لصفحة تسجيل الدخول الموحد (SSO) ببادئة "google." (أو بعض مشتقاتها)، تتم إعادة توجيه تطبيق Google iOS إلى Safari. يؤدي ذلك إلى تعذُّر عملية الدخول المُوحَّد (SSO). في ما يلي القائمة الكاملة بالبادئات المحظورة:

  • googl.
  • google
  • www.googl.
  • www.google

ستحتاج إلى تغيير أي عناوين URL لصفحات تسجيل الدخول الموحَّد (SSO) تتضمن هذه البادئات.

تحليل استجابة SAML

"مَعلمة الاستجابة المطلوبة SAMLResponse مفقودة"

تشير رسالة الخطأ هذه إلى أنّ خدمة "موفِّر الهوية" لم تقدّم إلى Google استجابة SAML صالحة من أي نوع. هناك احتمال كبير أن تظهر هذه المشكلة نتيجةً لمشكلة في الإعداد لدى موفّر الهوية.

  • تحقَّق من سجلات موفِّر الهوية وتأكَّد من عدم وجود ما يمنع من عرض استجابة SAML بشكل صحيح.
  • تأكَّد من أنّ "موفِّر الهوية" لم يرسل استجابة SAML مشفّرة إلى Google Workspace. لا تقبل خدمة Google Workspace سوى استجابات SAML غير المشفّرة. وبشكلٍ خاص، يُرجى ملاحظة أنّ برنامج Active Directory Federation Services 2.0 التابع لـ Microsoft يرسل في كثير من الأحيان استجابات SAML مشفّرة في عمليات الإعداد التلقائية.

"مَعلمة الاستجابة المطلوبة RelayState مفقودة"

تتطلب مواصفات SAML 2.0 من موفّري الهوية استرداد معلمة عنوان URL RelayState من موفّري الموارد (مثل Google Workspace) وإعادة إرسالها. وتوفّر Google Workspace هذه القيمة إلى موفّر الهوية في طلب SAML، وقد يختلف المحتوى بعينه في كل عملية تسجيل دخول. ولإكمال المصادقة بنجاح، يجب ظهور RelayState بالتحديد في استجابة SAML. وفقًا لمواصفات SAML العادية، يجب ألا يُعدِّل موفِّر الهوية RelayState أثناء إجراءات تسجيل الدخول.

  • يمكنك تشخيص هذه المشكلة على نطاق أوسع من خلال التقاط عناوين HTTP أثناء محاولة تسجيل الدخول. يمكنك استخراج RelayState‏ من رؤوس HTTP مع كل من طلب واستجابة SAML والتأكد من أنّ قيم RelayState‏ في الطلب والاستجابة متطابقة.
  • ينقل معظم موفّري هوية الدخول الموحّد (SSO) المتاحة تجاريًا أو مفتوحة المصدر RelayState بسلاسة بشكل تلقائي. لتحقيق أقصى قدر من الأمان والموثوقية، ننصحك باستخدام أحد هذه الحلول المتوفرة حاليًا، ولن نتمكن من تقديم دعم لبرنامج الدخول الموحّد (SSO) المخصص الذي تستخدمه.

محتوى استجابة SAML

"لا يمكن الوصول إلى هذه الخدمة لأنّ طلب تسجيل الدخول يحتوي على معلومات غير صالحة حول [الوجهة|الجمهور|المستلم]. يُرجى تسجيل الدخول والمحاولة مرة أخرى."

يشير هذا الخطأ إلى احتواء عناصر الوجهة أو الجمهور أو المستلم في تأكيد SAML على معلومات غير صالحة أو عدم احتوائهما على أي معلومات. يجب تضمين جميع العناصر في تأكيد SAML. يُرجى مراجعة الجداول التالية في متطلبات تأكيد خدمة الدخول المُوحَّد (SSO) للحصول على أوصاف وأمثلة لكل عنصر:

"لا يمكن الوصول إلى هذه الخدمة لأنّ طلب تسجيل الدخول لا يحتوي على معلومات عن المستلم. يُرجى تسجيل الدخول والمحاولة مرة أخرى."

يشير هذا الخطأ عادةً إلى أنّ استجابة SAML الواردة من موفّر الهوية تفتقر إلى قيمة مستلم قابلة للقراءة (أو أنّ قيمة المستلم غير صحيحة). وقيمة المستلِم هي مكوِّن مهم من استجابة SAML.

  1. يمكنك تشخيص هذه المشكلة على نطاق أوسع من خلال التقاط عناوين HTTP أثناء محاولة تسجيل الدخول.
  2. يمكنك استخراج طلب واستجابة SAML من عناوين HTTP.
  3. تأكَّد من أنّ قيمة المستلِم في استجابة SAML موجودة وأنّها تتطابق مع القيمة الموجودة في طلب SAML.

ملاحظة: قد تظهر رسالة الخطأ هذه أيضًا كما يلي: "لا يمكن الدخول إلى هذه الخدمة لأن طلب تسجيل الدخول يحتوي على معلومات مستلم غير صالحة. يُرجى تسجيل الدخول وإعادة المحاولة".

"لا يمكن الوصول إلى هذا الحساب بسبب عدم إمكانية التحقّق من بيانات اعتماد تسجيل الدخول".

يشير هذا الخطأ إلى وجود مشكلة في الشهادات التي تستخدمها للتوقيع على إجراءات المصادقة. ويعني ذلك عادةً أنّ المفتاح الخاص المستخدَم للتوقيع على استجابة SAML لا يتطابق مع شهادة المفتاح العام المحفوظة لدى Google Workspace في ملف.

يمكن أن يحدث ذلك أيضًا إذا لم تحتوي استجابة SAML على اسم مستخدم صالح في حسابات Google. يحلّل Google Workspace استجابة SAML لعنصر XML المُسمى NameID، ويتوقع أن يحتوي هذا العنصر على اسم مستخدم Google Workspace أو عنوان بريد إلكتروني كامل على Google Workspace.

  • تأكَّد من تحميل شهادة صالحة إلى Google Workspace، واستبدِل الشهادة إذا لزم الأمر. في "وحدة تحكّم المشرف" في Google، انتقِل إلى الأمان ثمإعداد الدخول المُوحَّد (SSO) باستخدام موفِّر هوية تابع لجهة خارجية وانقر على استبدال الشهادة.
  • إذا كنت تستخدم عنوان بريد إلكتروني كاملاً في عنصر NameID (يجب أن تستخدمه إذا كنت تستخدم ميزة "تسجيل الدخول المُوحّد" مع بيئة Apps متعددة النطاقات)، تأكَّد من أنّ السمة Format الخاصة بعنصر NameID تحدّد أنّه سيتم استخدام عنوان بريد إلكتروني كامل، كما في المثال التالي: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
  • تأكَّد من تعبئة حقل العنصر NameID باسم مستخدم أو عنوان بريد إلكتروني صالح. ولكي تتأكّد من ذلك، يمكنك استخراج استجابة SAML التي ترسِلها إلى Google Workspace، والتحقّق من قيمة العنصر NameID.
  • NameID حسّاس لحالة الأحرف: تأكَّد من تعبئة استجابة SAML لحقل NameID بقيمة تتطابق مع حالة اسم مستخدم Google Workspace أو عنوان بريده الإلكتروني.
  • إذا كانت خدمة "موفِّر الهوية" تشفِّر تأكيد SAML، ما عليك سوى إيقاف ذلك التشفير.
  • تأكَّد من أنّ استجابة SAML لا تتضمن أي أحرف ASCII غير عادية. تحدث هذه المشكلة عمومًا في السمات DisplayName وGivenName وSurname في AttributeStatement، على سبيل المثال:
    • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
      <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
    • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
      <AttributeValue>Blüte</AttributeValue> </Attribute>

لمزيد من المعلومات عن كيفية تنسيق عنصر NameID، يُرجى الاطّلاع على متطلبات تأكيد خدمة "الدخول الموحّد" (SSO).

"لا يمكن الوصول إلى هذه الخدمة نظرًا لانتهاء صلاحية بيانات اعتماد تسجيل الدخول. يُرجى تسجيل الدخول والمحاولة مرة أخرى."

لأسباب أمنية، يجب إكمال إجراءات تسجيل الدخول في خدمة الدخول الموحّد (SSO) ضمن إطار زمني معين، وإلا فستفشل عملية المصادقة. إذا كانت الساعة المعروضة في موفّر الهوية غير صحيحة، ستبدو معظم أو جميع محاولات تسجيل الدخول أنها خارج الإطار الزمني المقبول، وستتعذّر المصادقة وتظهر رسالة الخطأ أعلاه.

  • تحقَّق من الساعة المعروضة في خادم موفّر الهوية. يحدث هذا الخطأ عادة عندما لا تكون ساعة موفّر الهوية صحيحة، وبذلك تتم إضافة طوابع زمنية غير صحيحة إلى استجابة SAML.
  • أعِد مزامنة ساعة خادم موفّر الهوية مع خادم توقيت موثوق به على الإنترنت. عند حدوث هذه المشكلة فجأة في بيئة إنتاج، فهي في العادة ناتجة عن تعذّر المزامنة الأخيرة، ما يؤدي إلى عدم دقة الخادم. يؤدي تكرار مزامنة الوقت (مع خادم توقيت أكثر موثوقية) إلى حل هذه المشكلة بسرعة.
  • قد تحدث هذه المشكلة أيضًا إذا كنت تعيد إرسال SAML من محاولة تسجيل دخول سابقة. يمكن أن يساعدك فحص طلب واستجابة SAML (اللذان تم الحصول عليهما من سجلات عنوان HTTP التي تم التقاطها أثناء محاولة تسجيل الدخول) في تصحيح هذا الخطأ إلى حد كبير.

"لا يمكن الوصول إلى هذه الخدمة لأنّ بيانات اعتماد تسجيل الدخول ليست صالحة بعد. يُرجى تسجيل الدخول والمحاولة مرة أخرى."

لأسباب أمنية، يجب إكمال إجراءات تسجيل الدخول في خدمة الدخول الموحّد (SSO) ضمن إطار زمني معين، وإلا فستفشل عملية المصادقة. إذا كانت الساعة المعروضة في موفّر الهوية غير صحيحة، ستبدو معظم أو جميع محاولات تسجيل الدخول أنها خارج الإطار الزمني المقبول، وستتعذّر المصادقة وتظهر رسالة الخطأ أعلاه.

  • تحقَّق من الساعة المعروضة في خادم موفّر الهوية. يحدث هذا الخطأ عادة عندما لا تكون ساعة موفّر الهوية صحيحة، وبذلك تتم إضافة طوابع زمنية غير صحيحة إلى استجابة SAML.
  • أعِد مزامنة ساعة خادم موفّر الهوية مع خادم توقيت موثوق به على الإنترنت. عند حدوث هذه المشكلة فجأة في بيئة إنتاج، فهي في العادة ناتجة عن تعذّر المزامنة الأخيرة، ما يؤدي إلى عدم دقة الخادم. يؤدي تكرار مزامنة الوقت (مع خادم توقيت أكثر موثوقية) إلى حل هذه المشكلة بسرعة.