عیب‌یابی ورود یکپارچه (SSO)

این سند مراحلی را برای حل پیام‌های خطای رایجی که ممکن است هنگام ادغام یا استفاده از ورود یکپارچه (SSO) با Google Workspace، زمانی که Google ارائه‌دهنده خدمات (SP) است، با آنها مواجه شوید، ارائه می‌دهد.

پیکربندی و فعال‌سازی

«این دامنه برای استفاده از ورود یکپارچه پیکربندی نشده است.»

این خطا معمولاً نشان می‌دهد که شما از نسخه‌ای از Google Workspace استفاده می‌کنید که از SSO پشتیبانی نمی‌کند (مانند نسخه رایگان قدیمی G Suite). همه نسخه‌های فعلی Workspace از طریق یک ارائه‌دهنده هویت شخص ثالث (IdP) از SSO پشتیبانی می‌کنند.

اگر از نسخه Google Workspace استفاده می‌کنید که از SSO پشتیبانی می‌کند، این راه‌حل‌های دیگر را امتحان کنید:

  • تأیید کنید که پیکربندی SSO مربوط به IdP شما از نام دامنه صحیح Google Workspace استفاده می‌کند.
  • اگر پس از تنظیم پروفایل‌های SSO با این خطا مواجه شدید، ممکن است IdP شما طوری پیکربندی شده باشد که ادعای SAML را به نقطه پایانی پروفایل SSO قدیمی ارسال کند. اگر IdP شما نقطه پایانی SSO قدیمی را به صورت کدنویسی شده دارد، لطفاً موارد زیر را انجام دهید:
    1. SSO قدیمی را تنظیم کنید.
    2. از فروشنده IdP خود بخواهید که ادغام گوگل خود را به‌روزرسانی کند.

«به دلیل پیکربندی نادرست دامنه، دسترسی به این حساب کاربری امکان‌پذیر نیست. لطفاً بعداً دوباره امتحان کنید.»

این خطا نشان می‌دهد که شما SSO را به درستی در کنسول گوگل ادمین تنظیم نکرده‌اید. برای رفع این مشکل، مراحل زیر را بررسی کنید:

  1. در کنسول مدیریت، به بخش امنیت (Security) بروید. و سپس ورود یکپارچه (SSO) را با یک IdP شخص ثالث راه‌اندازی کنید و گزینه‌ی «تنظیم SSO با ارائه‌دهنده‌ی هویت شخص ثالث» را تیک بزنید.
  2. آدرس‌های اینترنتی (URL) مربوط به صفحه ورود، صفحه خروج و صفحه تغییر رمز عبور سازمان خود را در فیلدهای مربوطه وارد کنید.
  3. یک فایل گواهی تأیید معتبر انتخاب و بارگذاری کنید.
  4. روی ذخیره کلیک کنید، چند دقیقه صبر کنید تا تغییرات اعمال شوند و دوباره ادغام خود را آزمایش کنید.

مستاجر گوگل با پیشوند ممنوعه پیکربندی شده است

در برنامه‌های iOS، وقتی آدرس اینترنتی صفحه ورود به سیستم SSO با "google" (یا کمی تغییر) شروع می‌شود، برنامه Google iOS به Safari هدایت می‌شود. این باعث می‌شود فرآیند SSO با شکست مواجه شود. لیست کامل پیشوندهای ممنوعه به شرح زیر است:

  • گوگل
  • گوگل
  • www.googl.
  • www.google.

شما باید هر URL صفحه ورود به سیستم SSO که این پیشوندها را دارد، تغییر دهید.

تجزیه پاسخ SAML

«پارامتر پاسخ مورد نیاز SAMLResponse موجود نبود»

این پیام خطا نشان می‌دهد که ارائه‌دهنده هویت شما به نوعی پاسخ SAML معتبری به گوگل ارائه نمی‌دهد. این مشکل تقریباً به طور قطع به دلیل مشکل پیکربندی در ارائه‌دهنده هویت است.

  • لاگ‌های ارائه‌دهنده هویت خود را بررسی کنید و مطمئن شوید که هیچ مانعی برای بازگرداندن صحیح پاسخ SAML وجود ندارد.
  • مطمئن شوید که ارائه‌دهنده هویت شما، پاسخ SAML رمزگذاری‌شده‌ای را برای Google Workspace ارسال نمی‌کند. Google Workspace فقط پاسخ‌های SAML رمزگذاری‌نشده را می‌پذیرد. به‌ویژه، لطفاً توجه داشته باشید که سرویس‌های فدراسیون اکتیو دایرکتوری ۲.۰ مایکروسافت اغلب در پیکربندی‌های پیش‌فرض، پاسخ‌های SAML رمزگذاری‌شده ارسال می‌کنند.

«پارامتر پاسخ مورد نیاز RelayState وجود نداشت»

مشخصات SAML 2.0 ایجاب می‌کند که ارائه‌دهندگان هویت، پارامتر RelayState URL را از ارائه‌دهندگان منابع (مانند Google Workspace) بازیابی و ارسال کنند. Google Workspace این مقدار را در درخواست SAML به ارائه‌دهنده هویت ارائه می‌دهد و محتوای دقیق آن می‌تواند در هر ورود متفاوت باشد. برای اینکه احراز هویت با موفقیت انجام شود، RelayState دقیق باید در پاسخ SAML بازگردانده شود. طبق مشخصات استاندارد SAML، ارائه‌دهنده هویت شما نباید RelayState را در طول جریان ورود تغییر دهد.

  • با ثبت هدرهای HTTP در طول تلاش برای ورود به سیستم، این مشکل را بیشتر تشخیص دهید. RelayState را از هدرهای HTTP با درخواست و پاسخ SAML استخراج کنید و مطمئن شوید که مقادیر RelayState در درخواست و پاسخ مطابقت دارند.
  • اکثر ارائه‌دهندگان هویت SSO موجود در بازار یا متن‌باز، RelayState را به‌طور پیش‌فرض و یکپارچه منتقل می‌کنند. برای امنیت و قابلیت اطمینان مطلوب، توصیه می‌کنیم از یکی از این راه‌حل‌های موجود استفاده کنید و ما نمی‌توانیم پشتیبانی از نرم‌افزار SSO سفارشی شما را ارائه دهیم.

محتوای پاسخ SAML

«دسترسی به این سرویس امکان‌پذیر نیست زیرا درخواست ورود شما حاوی اطلاعات نامعتبر [مقصد|مخاطب|گیرنده] است. لطفاً وارد شوید و دوباره امتحان کنید.»

این خطا نشان می‌دهد که عناصر destination ، audience یا recipient در عبارت SAML حاوی اطلاعات نامعتبر یا خالی بوده‌اند. همه عناصر باید در عبارت SAML گنجانده شوند. برای توضیحات و مثال‌های هر عنصر، جداول زیر را در الزامات عبارت SSO بررسی کنید:

«دسترسی به این سرویس امکان‌پذیر نیست زیرا درخواست ورود شما حاوی اطلاعات گیرنده نیست. لطفاً وارد شوید و دوباره امتحان کنید.»

این خطا معمولاً نشان می‌دهد که پاسخ SAML از ارائه‌دهنده هویت شما فاقد مقدار گیرنده قابل خواندن است (یا اینکه مقدار گیرنده نادرست است). مقدار گیرنده جزء مهمی از پاسخ SAML است.

  1. با ثبت هدرهای HTTP در حین تلاش برای ورود به سیستم، این مشکل را بیشتر تشخیص دهید.
  2. درخواست و پاسخ SAML را از هدرهای HTTP استخراج کنید.
  3. اطمینان حاصل کنید که مقدار گیرنده در پاسخ SAML وجود دارد و با مقدار موجود در درخواست SAML مطابقت دارد.

توجه: این پیام خطا ممکن است به صورت «دسترسی به این سرویس امکان‌پذیر نیست زیرا درخواست ورود شما حاوی اطلاعات گیرنده نامعتبر است. لطفاً وارد شوید و دوباره امتحان کنید» نیز ظاهر شود.

«دسترسی به این حساب کاربری امکان‌پذیر نیست زیرا اعتبارنامه‌های ورود قابل تأیید نیستند.»

این خطا نشان‌دهنده‌ی مشکلی در گواهی‌هایی است که برای امضای جریان احراز هویت استفاده می‌کنید. معمولاً به این معنی است که کلید خصوصی مورد استفاده برای امضای پاسخ SAML با گواهی کلید عمومی که Google Workspace در پرونده دارد، مطابقت ندارد.

همچنین اگر پاسخ SAML شما حاوی نام کاربری حساب‌های گوگل نباشد، می‌تواند رخ دهد. Google Workspace پاسخ SAML را برای یک عنصر XML به نام NameID تجزیه می‌کند و انتظار دارد که این عنصر حاوی نام کاربری Google Workspace یا آدرس ایمیل کامل Google Workspace باشد.

  • مطمئن شوید که یک گواهی معتبر در Google Workspace آپلود کرده‌اید و در صورت لزوم گواهی را جایگزین کنید. در کنسول مدیریت گوگل، به بخش امنیت بروید. و سپس ورود یکپارچه (SSO) را با یک IdP شخص ثالث تنظیم کنید و روی «جایگزینی گواهی» کلیک کنید.
  • اگر از آدرس ایمیل کامل در عنصر NameID خود استفاده می‌کنید (اگر از SSO با محیط برنامه‌های چند دامنه‌ای استفاده می‌کنید، باید این کار را انجام دهید)، مطمئن شوید که ویژگی Format عنصر NameID مشخص می‌کند که قرار است از یک آدرس ایمیل کامل استفاده شود، مانند مثال زیر: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
  • مطمئن شوید که عنصر NameID را با یک نام کاربری یا آدرس ایمیل معتبر پر می‌کنید. برای اطمینان، پاسخ SAML را که به Google Workspace ارسال می‌کنید، استخراج کنید و مقدار عنصر NameID را بررسی کنید.
  • شناسه نام (NameID) به حروف بزرگ و کوچک حساس است: مطمئن شوید که پاسخ SAML، شناسه نام (NameID) را با مقداری پر می‌کند که با حروف کوچک و بزرگ نام کاربری یا آدرس ایمیل Google Workspace مطابقت داشته باشد.
  • اگر ارائه‌دهنده هویت شما، SAML Assertion شما را رمزگذاری می‌کند، رمزگذاری را غیرفعال کنید.
  • مطمئن شوید که پاسخ SAML شامل هیچ کاراکتر ASCII غیر استانداردی نباشد. این مشکل معمولاً در ویژگی‌های DisplayName، GivenName و Surname در AttributeStatement رخ می‌دهد، برای مثال:
    • <نام ویژگی="http://schemas.microsoft.com/identity/claims/displayname">
      <AttributeValue>بلوت، اوا</AttributeValue></Attribute>
    • <نام ویژگی="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
      <AttributeValue>بلوط</AttributeValue></Attribute>

برای اطلاعات بیشتر در مورد نحوه قالب‌بندی عنصر NameID ، به الزامات ادعای SSO مراجعه کنید.

«به دلیل منقضی شدن اعتبارنامه ورود شما، دسترسی به این سرویس امکان‌پذیر نیست. لطفاً وارد شوید و دوباره امتحان کنید.»

به دلایل امنیتی، جریان ورود به سیستم SSO باید در یک بازه زمانی مشخص تکمیل شود، در غیر این صورت احراز هویت با شکست مواجه می‌شود. اگر ساعت روی ارائه‌دهنده هویت شما نادرست باشد، بیشتر یا همه تلاش‌های ورود به سیستم خارج از بازه زمانی قابل قبول به نظر می‌رسند و احراز هویت با پیام خطای فوق با شکست مواجه می‌شود.

  • ساعت سرور ارائه دهنده هویت خود را بررسی کنید. این خطا تقریباً همیشه به دلیل نادرست بودن ساعت ارائه دهنده هویت ایجاد می‌شود که مهرهای زمانی نادرستی را به پاسخ SAML اضافه می‌کند.
  • ساعت سرور Identity Provider را با یک سرور زمان اینترنتی قابل اعتماد دوباره همگام‌سازی کنید. وقتی این مشکل به طور ناگهانی در محیط عملیاتی رخ می‌دهد، معمولاً به این دلیل است که آخرین همگام‌سازی ناموفق بوده و باعث می‌شود زمان سرور دقیق نباشد. تکرار همگام‌سازی زمان (احتمالاً با یک سرور زمان قابل اعتمادتر) به سرعت این مشکل را برطرف می‌کند.
  • این مشکل همچنین می‌تواند در صورت ارسال مجدد SAML از یک تلاش ورود قبلی رخ دهد. بررسی درخواست و پاسخ SAML شما (که از گزارش‌های هدر HTTP ثبت شده در طول یک تلاش ورود به سیستم به دست می‌آید) می‌تواند به شما در اشکال‌زدایی بیشتر این مشکل کمک کند.

«دسترسی به این سرویس امکان‌پذیر نیست زیرا اطلاعات ورود شما هنوز معتبر نیست. لطفاً وارد شوید و دوباره امتحان کنید.»

به دلایل امنیتی، جریان ورود به سیستم SSO باید در یک بازه زمانی مشخص تکمیل شود، در غیر این صورت احراز هویت با شکست مواجه می‌شود. اگر ساعت روی ارائه‌دهنده هویت شما نادرست باشد، بیشتر یا همه تلاش‌های ورود به سیستم خارج از بازه زمانی قابل قبول به نظر می‌رسند و احراز هویت با پیام خطای فوق با شکست مواجه می‌شود.

  • ساعت سرور ارائه دهنده هویت خود را بررسی کنید. این خطا تقریباً همیشه به دلیل نادرست بودن ساعت ارائه دهنده هویت ایجاد می‌شود که مهرهای زمانی نادرستی را به پاسخ SAML اضافه می‌کند.
  • ساعت سرور Identity Provider را با یک سرور زمان اینترنتی قابل اعتماد دوباره همگام‌سازی کنید. وقتی این مشکل به طور ناگهانی در محیط عملیاتی رخ می‌دهد، معمولاً به این دلیل است که آخرین همگام‌سازی ناموفق بوده و باعث می‌شود زمان سرور دقیق نباشد. تکرار همگام‌سازی زمان (احتمالاً با یک سرور زمان قابل اعتمادتر) به سرعت این مشکل را برطرف می‌کند.