Soluciona problemas relacionados con el inicio de sesión único (SSO)

"Este dominio no está configurado para usar el inicio de sesión único".

Por lo general, este error indica que estás usando una versión de Google Workspace que no admite el SSO (como la edición gratuita heredada de G Suite). Todas las ediciones actuales de Workspace admiten el SSO a través de un proveedor de identidad (IdP) externo.

Si usas una edición de Google Workspace que admite el SSO, prueba estas otras soluciones:

• Verifica que la configuración del SSO de tu IdP use el nombre de dominio correcto de Google Workspace.
• Si recibes este error después de configurar los perfiles de SSO, es posible que tu IdP esté configurado para enviar la aserción de SAML al extremo del perfil de SSO heredado. Si tu IdP tiene codificado de forma rígida el extremo heredado del SSO, haz lo siguiente:
  1. Configura el SSO heredado.
  2. Pídele a tu proveedor de IdP que actualice su integración con Google.

"No se puede acceder a esta cuenta porque el dominio está configurado de forma incorrecta. Vuelve a intentarlo más tarde."

Este error indica que no configuraste correctamente el SSO en la Consola del administrador de Google. Sigue estos pasos para corregir la situación:

1. En la Consola del administrador, ve a Seguridad Configurar el inicio de sesión único (SSO) con un IdP externo y marca la casilla Configurar el SSO con un proveedor de identidad externo.
2. Proporciona las URLs de la página de acceso, la página de salida y la página de cambio de contraseña de tu organización en los campos correspondientes.
3. Elige y sube un archivo de certificado de verificación válido.
4. Haz clic en Guardar, espera unos minutos para que se apliquen los cambios y vuelve a probar la integración.

Se configuró el arrendatario de Google con un prefijo prohibido

Con aplicaciones para iOS, cuando la URL de la página de acceso con SSO comienza con "google." (o alguna variación), la app de Google para iOS se redirecciona a Safari. Esto provoca que falle el proceso de SSO. La lista completa de prefijos prohibidos es la siguiente:

• googl.
• Google.
• www.googl.
• www.google.

Deberás cambiar las URLs de las páginas de acceso con SSO que tengan estos prefijos.

"Faltaba el parámetro de respuesta obligatorio SAMLResponse"

Este mensaje de error indica que tu proveedor de identidad no le proporciona a Google una respuesta SAML válida de algún tipo. Es casi seguro que este problema se debe a un error de configuración en el proveedor de identidad.

• Verifica los registros de tu proveedor de identidad y asegúrate de que no haya nada que impida que devuelva correctamente una respuesta de SAML.
• Asegúrate de que tu proveedor de identidad no envíe a Google Workspace una respuesta SAML encriptada. Google Workspace solo acepta respuestas de SAML sin encriptar. En particular, ten en cuenta que los Servicios de federación de Active Directory 2.0 de Microsoft suelen enviar respuestas SAML encriptadas en las configuraciones predeterminadas.

"Faltaba el parámetro de respuesta obligatorio RelayState"

La especificación de SAML 2.0 requiere que los proveedores de identidad recuperen y envíen un parámetro de URL RelayState de los proveedores de recursos (como Google Workspace). Google Workspace proporciona este valor al proveedor de identidad en la solicitud de SAML, y el contenido exacto puede diferir en cada acceso. Para que la autenticación se complete correctamente, se debe devolver el RelayState exacto en la respuesta de SAML. Según la especificación estándar de SAML, tu proveedor de identidad no debe modificar RelayState durante el flujo de acceso.

• Para diagnosticar este problema, captura los encabezados HTTP durante un intento de acceso. Extrae el RelayState de los encabezados HTTP con la solicitud y la respuesta de SAML, y asegúrate de que los valores de RelayState en la solicitud y la respuesta coincidan.
• La mayoría de los proveedores de identidad de SSO de código abierto o disponibles comercialmente transmiten el parámetro RelayState de forma predeterminada y sin problemas. Para garantizar la seguridad y la confiabilidad óptimas, te recomendamos que uses una de estas soluciones existentes. No podemos ofrecer asistencia para tu propio software de SSO personalizado.

"No se puede acceder a este servicio porque tu solicitud de acceso contenía información no válida de [destino|público|destinatario]. Accede y vuelve a intentarlo".

Este error indica que los elementos destination, audience o recipient en la aserción de SAML contenían información no válida o estaban vacíos. Todos los elementos deben incluirse en la aserción de SAML. Consulta las siguientes tablas en Requisitos de aserción de SSO para obtener descripciones y ejemplos de cada elemento:

• Usa elementos y atributos: perfiles de SSO
• Usa elementos y atributos: perfil de SSO heredado

"No se puede acceder a este servicio porque tu solicitud de acceso no contiene información del destinatario. Accede y vuelve a intentarlo".

Por lo general, este error indica que la respuesta SAML de tu proveedor de identidad no tiene un valor Recipient legible (o que el valor Recipient es incorrecto). El valor Recipient es un componente importante de la respuesta SAML.

1. Para diagnosticar este problema, captura los encabezados HTTP durante un intento de acceso.
2. Extrae la solicitud y la respuesta de SAML de los encabezados HTTP.
3. Asegúrate de que el valor de Recipient en la respuesta de SAML exista y coincida con el valor de la solicitud de SAML.

Nota: Este mensaje de error también puede aparecer como "No se puede acceder al servicio porque tu solicitud de acceso contiene información de destinatario no válida. Accede y vuelve a intentarlo".

"No se puede acceder a esta cuenta porque no se pudieron verificar las credenciales de acceso".

Este error indica un problema con los certificados que usas para firmar el flujo de autenticación. Por lo general, significa que la clave privada que se usó para firmar la respuesta de SAML no coincide con el certificado de clave pública que Google Workspace tiene registrado.

También puede ocurrir si tu respuesta de SAML no contiene un nombre de usuario viable de Cuentas de Google. Google Workspace analiza la respuesta de SAML para un elemento XML llamado NameID y espera que este elemento contenga un nombre de usuario o una dirección de correo electrónico completa de Google Workspace.

• Asegúrate de haber subido un certificado válido a Google Workspace y, si es necesario, reemplázalo. En la Consola del administrador de Google, ve a Seguridad Configurar el inicio de sesión único (SSO) con un IdP externo y haz clic en Reemplazar certificado.
• Si usas una dirección de correo electrónico completa en tu elemento NameID (debes hacerlo si usas SSO con un entorno de Apps multidominio), asegúrate de que el atributo Format del elemento NameID especifique que se debe usar una dirección de correo electrónico completa, como en el siguiente ejemplo: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
• Asegúrate de completar el elemento NameID con un nombre de usuario o una dirección de correo electrónico válidos. Para asegurarte, extrae la respuesta de SAML que envías a Google Workspace y verifica el valor del elemento NameID.
• NameID distingue mayúsculas de minúsculas: Asegúrate de que la respuesta de SAML complete NameID con un valor que coincida con las mayúsculas y minúsculas del nombre de usuario o la dirección de correo electrónico de Google Workspace.
• Si tu proveedor de identidad encripta tu aserción de SAML, inhabilita la encriptación.
• Asegúrate de que la respuesta SAML no incluya caracteres ASCII no estándares. Este problema suele ocurrir en los atributos DisplayName, GivenName y Surname del AttributeStatement, por ejemplo:
  • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
  • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
    <AttributeValue>Blüte</AttributeValue> </Attribute>

Para obtener más información sobre cómo dar formato al elemento NameID, consulta Requisitos de las aserciones de SSO.

"No se puede acceder al servicio porque tus credenciales de acceso caducaron. Accede y vuelve a intentarlo".

Por motivos de seguridad, el flujo de acceso con SSO debe completarse dentro de un período determinado, o la autenticación fallará. Si el reloj de tu proveedor de identidad es incorrecto, la mayoría o todos los intentos de acceso parecerán estar fuera del período aceptable, y la autenticación fallará con el mensaje de error anterior.

• Verifica el reloj del servidor de tu proveedor de identidad. Este error casi siempre se debe a que el reloj del proveedor de identidad es incorrecto, lo que agrega marcas de tiempo incorrectas a la respuesta de SAML.
• Vuelve a sincronizar el reloj del servidor del proveedor de identidad con un servidor de hora de Internet confiable. Cuando este problema ocurre de repente en un entorno de producción, suele deberse a que falló la última sincronización de la hora, lo que provocó que la hora del servidor se volviera imprecisa. Repetir la sincronización de hora (posiblemente con un servidor de hora más confiable) solucionará rápidamente este problema.
• Este problema también puede ocurrir si reenvías SAML desde un intento de acceso anterior. Si examinas tu solicitud y respuesta de SAML (obtenidas de los registros de encabezados HTTP capturados durante un intento de acceso), podrás depurar este problema con mayor detalle.

"No se puede acceder a este servicio porque tus credenciales de acceso aún no son válidas. Accede y vuelve a intentarlo".

Por motivos de seguridad, el flujo de acceso con SSO debe completarse dentro de un período determinado, o la autenticación fallará. Si el reloj de tu proveedor de identidad es incorrecto, la mayoría o todos los intentos de acceso parecerán estar fuera del período aceptable, y la autenticación fallará con el mensaje de error anterior.

• Verifica el reloj del servidor de tu proveedor de identidad. Este error casi siempre se debe a que el reloj del proveedor de identidad es incorrecto, lo que agrega marcas de tiempo incorrectas a la respuesta de SAML.
• Vuelve a sincronizar el reloj del servidor del proveedor de identidad con un servidor de hora de Internet confiable. Cuando este problema ocurre de repente en un entorno de producción, suele deberse a que falló la última sincronización de la hora, lo que provocó que la hora del servidor se volviera imprecisa. Repetir la sincronización de hora (posiblemente con un servidor de hora más confiable) solucionará rápidamente este problema.