Fehlerbehebung bei der Einmalanmeldung (SSO)

„Diese Domain ist nicht zur Verwendung der Einmalanmeldung konfiguriert.“

Diese Fehlermeldung weist in der Regel darauf hin, dass Sie eine Version von Google Workspace verwenden, die SSO nicht unterstützt, z. B. die frühere kostenlose Version der G Suite. Alle aktuellen Workspace-Versionen unterstützen die SSO über einen externen Identitätsanbieter (IdP).

Wenn Sie eine Google Workspace-Version verwenden, die SSO unterstützt, probieren Sie diese anderen Lösungen aus:

• Prüfen Sie, ob in der SSO-Konfiguration Ihres Identitätsanbieters der richtige Google Workspace-Domainname verwendet wird.
• Wenn dieser Fehler auftritt, nachdem Sie SSO-Profile eingerichtet haben, ist Ihr IdP möglicherweise so konfiguriert, dass die SAML-Assertion an den alten SSO-Profil-Endpunkt gesendet wird. Wenn der alte SSO-Endpunkt in Ihrem IdP fest codiert ist, gehen Sie so vor:
  1. Richten Sie Legacy-SSO ein.
  2. Bitten Sie Ihren IdP-Anbieter, seine Google-Integration zu aktualisieren.

„Auf dieses Konto kann nicht zugegriffen werden, da die Domain nicht richtig konfiguriert ist. Bitte versuche es später noch einmal."

Diese Fehlermeldung weist darauf hin, dass Sie die Einmalanmeldung in der Google Admin-Konsole nicht korrekt eingerichtet haben. Führen Sie die folgenden Schritte durch, um den Fehler zu beheben:

1. Wählen Sie in der Admin-Konsole Sicherheit Einmalanmeldung (SSO) mit einem externen Identitätsanbieter einrichten aus und setzen Sie das Häkchen bei Einmalanmeldung (SSO) mit externem Identitätsanbieter einrichten.
2. Geben Sie die URL für die Anmeldeseite, die Abmeldeseite und die Seite zur Passwortänderung Ihrer Organisation in den entsprechenden Feldern an.
3. Wählen Sie eine Datei mit einem gültigen Bestätigungszertifikat aus und laden Sie sie hoch.
4. Klicken Sie auf Speichern. Warten Sie anschließend einige Minuten, bis Ihre Änderungen wirksam werden, und testen Sie Ihre Integration danach noch einmal.

Google-Mandanten mit verbotenem Präfix konfiguriert

Wenn bei iOS-Anwendungen die URL der SSO-Anmeldeseite mit „google.“ oder einer Abwandlung davon beginnt, wird die Google iOS-App zu Safari weitergeleitet. Dadurch treten Fehler beim SSO-Vorgang auf. Folgende Präfixe sollten daher nicht verwendet werden:

• googl.
• google.
• www.googl.
• www.google.

URLs für Seiten zur Einmalanmeldung (SSO), die mit diesen Präfixen beginnen, müssen geändert werden.

„Der erforderliche Antwortparameter SAMLResponse fehlte.“

Diese Fehlermeldung gibt an, dass Ihr Identitätsanbieter keine gültige SAML-Antwort an Google sendet. Höchstwahrscheinlich liegt ein Problem mit der Konfiguration des Identitätsanbieters vor.

• Prüfen Sie die Protokolle des Identitätsanbieters auf Probleme, die die Übermittlung der SAML-Antwort behindern.
• Achten Sie darauf, dass Ihr Identitätsanbieter keine verschlüsselte SAML-Antwort an Google Workspace sendet. In Google Workspace werden ausschließlich unverschlüsselte SAML-Antworten akzeptiert. Beachten Sie, dass beispielsweise in den Standardkonfigurationen von Microsoft Active Directory Federation Services 2.0 häufig verschlüsselte SAML-Antworten festgelegt sind.

„Der erforderliche Antwortparameter RelayState fehlte.“

Die SAML 2.0-Spezifikation sieht vor, dass der Identitätsanbieter einen RelayState-URL-Parameter von Ressourcenanbietern wie Google Workspace abruft und anschließend zurücksendet. Dieser Wert wird in der SAML-Anfrage an den Identitätsanbieter übermittelt. Der genaue Inhalt ändert sich bei jeder Anmeldung. Damit die Authentifizierung erfolgreich ist, muss der exakte RelayState-Wert in der SAML-Antwort angegeben werden. Gemäß der SAML-Standardspezifikation darf Ihr Identitätsanbieter den RelayState-Wert während der Anmeldung nicht verändern.

• Das Problem kann mithilfe der HTTP-Header, die bei einem Anmeldeversuch erscheinen, noch ausführlicher diagnostiziert werden. Extrahieren Sie den RelayState-Wert aus den HTTP-Headern der SAML-Anfrage und der SAML-Antwort. Diese RelayState-Werte sollten übereinstimmen.
• Die meisten Identitätsanbieter für die Einmalanmeldung, die kommerziell oder als Open-Source-Software verfügbar sind, übertragen den RelayState-Wert standardmäßig ohne Änderungen. Für eine optimale Sicherheit und Zuverlässigkeit empfehlen wir Ihnen, eine dieser offiziellen Lösungen zu verwenden. Für SSO-Software, die Sie selbst entwickelt haben, können wir keinen Support anbieten.

„Auf den Dienst kann nicht zugegriffen werden, da Ihre Anmeldeanfrage ungültige [Destination|Audience|Recipient]-Daten enthielt. Melden Sie sich an und versuchen Sie es noch einmal.“

Diese Fehlermeldung weist darauf hin, dass die Elemente Destination, Audience oder Recipient in der SAML-Assertion ungültige Informationen enthielten oder leer waren. Es müssen jedoch alle Elemente in der SAML-Assertion vorhanden sein. In den folgenden Tabellen unter Erforderliche SSO-Assertions finden Sie Beschreibungen und Beispiele für die einzelnen Elemente:

• Elemente und Attribute verwenden – SSO-Profile
• Elemente und Attribute verwenden – Legacy-SSO-Profil

„Auf diesen Dienst kann nicht zugegriffen werden, da Ihre Anmeldeanfrage keine Empfängerdaten enthielt. Melden Sie sich an und versuchen Sie es noch einmal.“

Diese Fehlermeldung weist in der Regel darauf hin, dass die SAML-Antwort vom Identitätsanbieter keinen lesbaren Wert für Recipient enthält bzw. dass der Wert für Recipient in der SAML-Antwort nicht korrekt ist. Der Recipient-Wert ist eine wichtige Komponente der SAML-Antwort.

1. Das Problem kann mithilfe der HTTP-Header, die bei einem Anmeldeversuch erscheinen, noch ausführlicher diagnostiziert werden.
2. Extrahieren Sie die SAML-Anfrage und -Antwort aus den HTTP-Headern.
3. Prüfen Sie, ob der Recipient-Wert in der SAML-Antwort vorhanden ist und mit dem Wert in der SAML-Anfrage übereinstimmt.

Hinweis: Diese Fehlermeldung erscheint möglicherweise auch in der Form „Auf diesen Dienst kann nicht zugegriffen werden, da Ihre Anmeldeanfrage ungültige Empfängerdaten enthielt. Melden Sie sich an und versuchen Sie es noch einmal.“

„Auf dieses Konto kann nicht zugegriffen werden, da die Anmeldedaten nicht verifiziert werden konnten.“

Diese Fehlermeldung weist auf ein Problem mit den Zertifikaten hin, die Sie für die Signaturerstellung im Rahmen der Authentifizierung verwenden. Häufig besteht das Problem darin, dass der private Schlüssel, der für die SAML-Antwort verwendet wurde, nicht zum Public-Key-Zertifikat passt, das bei Google Workspace hinterlegt ist.

Diese Fehlermeldung kann ebenfalls auftreten, wenn die SAML-Antwort keinen gültigen Nutzernamen eines Google-Kontos enthält. Die SAML-Antwort wird in Google Workspace im Hinblick auf ein XML-Element namens NameID geparst. Dabei wird erwartet, dass dieses Element einen Google Workspace-Nutzernamen oder eine vollständige Google Workspace-E-Mail-Adresse enthält.

• Prüfen Sie, ob Sie ein gültiges Zertifikat in Google Workspace hochgeladen haben, und ersetzen Sie es gegebenenfalls. Wählen Sie in der Google Admin-Konsole SicherheitEinmalanmeldung (SSO) mit einem externen Identitätsanbieter einrichten aus und klicken Sie auf Zertifikat ersetzen.
• Wenn Sie in Ihrem NameID-Element eine vollständige E-Mail-Adresse verwenden (was bei der Verwendung von SSO mit einer Apps-Umgebung mit mehreren Domains erforderlich ist), muss im Format-Attribut des NameID-Elements angegeben werden, dass eine vollständige E-Mail-Adresse verwendet werden soll, wie im folgenden Beispiel: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
• Das Element NameID sollte nur einen gültigen Nutzernamen oder eine gültige E-Mail-Adresse enthalten. Überprüfen Sie daher den Wert des Elements NameID in der SAML-Antwort, die Sie an Google Workspace senden.
• Bei NameID wird zwischen Groß- und Kleinschreibung unterschieden. In der SAML-Antwort für „NameID“ muss ein Wert eingetragen sein, der mit dem Namen des Google Workspace-Nutzernamens oder der Google Workspace-E-Mail-Adresse übereinstimmt.
• Falls die SAML-Assertion vom Identitätsanbieter verschlüsselt wird, sollten Sie die Verschlüsselung deaktivieren.
• Achten Sie darauf, dass die SAML-Antwort keine nicht standardmäßigen ASCII enthält. Dieses Problem tritt am häufigsten in den Attributen „DisplayName“, „GivenName“ und „Surname“ in „AttributeStatement“ auf. Beispiel:
  • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
  • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
    <AttributeValue>Blüte</AttributeValue> </Attribute>

Weitere Informationen zum Formatieren des Elements NameID finden Sie im Hilfeartikel Erforderliche SSO-Assertions.

„Auf diesen Dienst kann nicht zugegriffen werden, da Ihre Anmeldedaten abgelaufen sind. Melden Sie sich an und versuchen Sie es noch einmal.“

Aus Sicherheitsgründen muss die Einmalanmeldung innerhalb eines bestimmten Zeitfensters abgeschlossen werden; andernfalls wird die Authentifizierung fehlschlagen. Wenn Ihr Identitätsanbieter eine falsche Uhrzeit verwendet, liegen die meisten Anmeldeversuche außerhalb des gültigen Zeitfensters, sodass die Authentifizierung scheitert und die obige Fehlermeldung erscheint.

• Prüfen Sie die Uhrzeit auf dem Server Ihres Identitätsanbieters. Dieser Fehler wird fast immer dadurch verursacht, dass die Uhr des Identitätsanbieters falsch eingestellt ist. Dadurch wird die SAML-Antwort mit einem falschen Zeitstempel versehen.
• Synchronisieren Sie die Uhrzeit des betreffenden Servers noch einmal mit einem zuverlässigen Internetzeitserver. Falls dieses Problem plötzlich in einer Produktionsumgebung auftritt, ist dies häufig darauf zurückzuführen, dass die letzte Zeitsynchronisierung fehlgeschlagen ist und der Server daher eine falsche Uhrzeit verwendet. Sie können das Problem beheben, indem Sie die Uhrzeit noch einmal (mit einem zuverlässigen Zeitserver) synchronisieren.
• Dieses Problem kann ebenfalls auftreten, wenn Sie die SAML-Informationen aus einem vorherigen Anmeldeversuch noch einmal senden. Die SAML-Anfrage und die SAML-Antwort, deren Werte Sie den HTTP-Headerprotokollen im Rahmen eines Anmeldeversuchs entnehmen können, bieten weitere Informationen zur Fehlerbehebung.

„Auf diesen Dienst kann nicht zugegriffen werden, da Ihre Anmeldedaten noch nicht gültig sind. Melden Sie sich an und versuchen Sie es noch einmal.“

Aus Sicherheitsgründen muss die Einmalanmeldung innerhalb eines bestimmten Zeitfensters abgeschlossen werden; andernfalls wird die Authentifizierung fehlschlagen. Wenn Ihr Identitätsanbieter eine falsche Uhrzeit verwendet, liegen die meisten Anmeldeversuche außerhalb des gültigen Zeitfensters, sodass die Authentifizierung scheitert und die obige Fehlermeldung erscheint.

• Prüfen Sie die Uhrzeit auf dem Server Ihres Identitätsanbieters. Dieser Fehler wird fast immer dadurch verursacht, dass die Uhr des Identitätsanbieters falsch eingestellt ist. Dadurch wird die SAML-Antwort mit einem falschen Zeitstempel versehen.
• Synchronisieren Sie die Uhrzeit des betreffenden Servers noch einmal mit einem zuverlässigen Internetzeitserver. Falls dieses Problem plötzlich in einer Produktionsumgebung auftritt, ist dies häufig darauf zurückzuführen, dass die letzte Zeitsynchronisierung fehlgeschlagen ist und der Server daher eine falsche Uhrzeit verwendet. Sie können das Problem beheben, indem Sie die Uhrzeit noch einmal (mit einem zuverlässigen Zeitserver) synchronisieren.