Memecahkan masalah Single Sign-On (SSO)

Dokumen ini menyediakan langkah-langkah untuk menyelesaikan pesan error umum yang mungkin Anda alami selama integrasi atau penggunaan single sign-on (SSO) dengan Google Workspace saat Google digunakan sebagai penyedia layanan (SP).

Konfigurasi dan aktivasi

"Domain ini tidak dikonfigurasi untuk menggunakan single sign-on."

Error ini biasanya menunjukkan bahwa Anda menggunakan versi Google Workspace yang tidak mendukung SSO (seperti G Suite edisi gratis lama). Semua edisi Workspace saat ini mendukung SSO melalui Penyedia identitas (IdP) pihak ketiga.

Jika Anda menggunakan edisi Google Workspace yang mendukung SSO, coba solusi lain berikut:

  • Pastikan konfigurasi SSO IdP Anda menggunakan nama domain Google Workspace yang benar.
  • Jika Anda mendapatkan error ini setelah menyiapkan profil SSO, IdP Anda mungkin dikonfigurasi untuk mengirimkan pernyataan SAML ke endpoint profil SSO lama. Jika IdP Anda memiliki endpoint SSO lama yang dikodekan secara permanen, lakukan hal berikut:
    1. Siapkan SSO lama.
    2. Minta vendor IdP Anda untuk mengupdate integrasi Google mereka.

"Akun ini tidak dapat diakses karena domainnya tidak dikonfigurasi dengan benar. Coba lagi nanti."

Error ini menunjukkan bahwa Anda belum menyiapkan SSO dengan benar di konsol Google Admin. Tinjau langkah berikut untuk memperbaiki masalahnya:

  1. Di konsol Admin, buka Keamanan laluSiapkan single sign-on (SSO) dengan IdP pihak ketiga, lalu centang Siapkan SSO dengan penyedia identitas pihak ketiga.
  2. Berikan URL halaman login, halaman logout, dan halaman ubah sandi organisasi Anda di kolom yang sesuai.
  3. Pilih dan upload file sertifikat verifikasi yang valid.
  4. Klik Simpan, tunggu beberapa menit agar perubahan diterapkan, lalu uji integrasi lagi.

Tenant Google dikonfigurasi dengan imbuhan yang dilarang

Dengan aplikasi iOS, saat URL Halaman login SSO dimulai dengan "google." (atau beberapa variasi), aplikasi iOS Google akan dialihkan ke Safari. Tindakan ini menyebabkan kegagalan proses SSO. Daftar lengkap awalan yang dilarang adalah:

  • googl.
  • google.
  • www.googl.
  • www.google.

Anda harus mengubah URL halaman Login SSO yang memiliki awalan ini.

Mengurai Respons SAML

"Parameter respons SAMLResponse yang diperlukan tidak ada"

Pesan error ini menunjukkan bahwa Penyedia Identitas Anda tidak menyediakan Respons SAML yang valid kepada Google. Masalah ini hampir dapat dipastikan karena masalah konfigurasi dalam Penyedia Identitas.

  • Periksa log Penyedia Identitas dan pastikan bahwa tidak ada yang mencegahnya mengirim Respons SAML dengan benar.
  • Pastikan Penyedia Identitas Anda tidak mengirimkan Respons SAML terenkripsi ke Google Workspace. Google Workspace hanya menerima Respons SAML yang tidak dienkripsi. Khususnya, perlu diketahui bahwa Active Directory Federation Services 2.0 dari Microsoft sering mengirimkan Respons SAML terenkripsi dalam konfigurasi default.

"Parameter respons RelayState yang diperlukan tidak ada"

Spesifikasi SAML 2.0 mewajibkan Penyedia Identitas mengambil dan mengirim kembali parameter URL RelayState dari Penyedia Resource (seperti Google Workspace). Google Workspace memberikan nilai ini ke Penyedia Identitas di Permintaan SAML, dan konten yang tepat dapat berbeda-beda dalam setiap login. Agar autentikasi berhasil, RelayState yang akurat harus dikirim dalam Respons SAML. Berdasarkan spesifikasi standar SAML, Penyedia Identitas Anda tidak boleh memodifikasi RelayState selama alur login.

  • Diagnosis masalah ini lebih lanjut dengan merekam header HTTP selama upaya login. Ekstrak RelayState dari header HTTP dengan Permintaan dan Respons SAML, dan pastikan bahwa nilai RelayState dalam Permintaan dan Respons cocok.
  • Sebagian besar Penyedia Identitas SSO open source atau yang tersedia secara komersial mentransmisikan RelayState tanpa masalah secara default. Agar keamanan dan keandalan optimal, sebaiknya Anda menggunakan salah satu solusi yang ada tersebut dan kami tidak memberikan dukungan untuk software SSO kustom milik Anda.

Konten Respons SAML

"Layanan ini tidak dapat diakses karena permintaan login Anda berisi informasi [tujuan|audiens|penerima] yang tidak valid. Login dan coba lagi."

Error ini menunjukkan bahwa elemen tujuan, audiens, atau penerima di pernyataan SAML berisi informasi yang tidak valid atau kosong. Semua elemen harus disertakan dalam pernyataan SAML. Periksa tabel berikut di Persyaratan pernyataan SSO untuk mengetahui deskripsi dan contoh setiap elemen:

"Layanan ini tidak dapat diakses karena permintaan login Anda tidak berisi informasi penerima. Login dan coba lagi."

Error ini biasanya menunjukkan bahwa Respons SAML dari Penyedia Identitas Anda tidak memiliki nilai Recipient yang dapat dibaca (atau nilai Recipient salah). Nilai Recipient adalah komponen penting dari Respons SAML.

  1. Diagnosis masalah ini lebih lanjut dengan merekam header HTTP selama upaya login.
  2. Ekstrak Permintaan dan Respons SAML dari header HTTP.
  3. Pastikan nilai Recipient dalam Respons SAML ada dan cocok dengan nilai dalam Permintaan SAML.

Catatan: Pesan error ini mungkin juga muncul dengan pesan "Layanan ini tidak dapat diakses karena permintaan login Anda berisi informasi penerima yang tidak valid. Login dan coba lagi."

"Akun ini tidak dapat diakses karena kredensial login tidak dapat diverifikasi."

Error ini menunjukkan masalah dengan sertifikat yang Anda gunakan untuk menandatangani alur autentikasi. Error ini biasanya berarti bahwa kunci pribadi yang digunakan untuk menandatangani Respons SAML tidak cocok dengan public key certificate yang disimpan oleh Google Workspace.

Error ini bisa juga terjadi jika Respons SAML Anda tidak berisi nama pengguna Akun Google yang valid. Google Workspace mengurai Respons SAML untuk elemen XML yang disebut NameID, dan elemen ini harus berisi nama pengguna Google Workspace atau alamat email Google Workspace lengkap.

  • Pastikan Anda telah mengupload sertifikat yang valid ke Google Workspace, dan jika perlu mengganti sertifikat. Di konsol Google Admin, buka Keamanan laluSiapkan single sign-on (SSO) dengan IdP pihak ketiga, lalu klik Ganti sertifikat.
  • Jika Anda menggunakan alamat email lengkap di elemen NameID (Anda harus melakukannya jika menggunakan SSO dengan lingkungan Aplikasi multidomain), pastikan atribut Format elemen NameID menentukan bahwa alamat email lengkap harus digunakan, seperti dalam contoh berikut: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
  • Pastikan bahwa Anda mengisi elemen NameID dengan nama pengguna atau alamat email yang valid. Untuk memastikannya, ekstrak Respons SAML yang Anda kirimkan ke Google Workspace, dan periksa nilai elemen NameID.
  • NameID peka huruf besar/kecil: pastikan bahwa Respons SAML mengisi NameID dengan nilai yang cocok dengan huruf besar/kecil dari nama pengguna atau alamat email Google Workspace.
  • Jika Penyedia Identitas mengenkripsi Pernyataan SAML, nonaktifkan enkripsi.
  • Pastikan Respons SAML tidak berisi karakter ASCII non-standar. Masalah ini paling sering terjadi pada atribut DisplayName, GivenName, dan Surname di AttributeStatement, misalnya:
    • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
      <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
    • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
      <AttributeValue>Blüte</AttributeValue> </Attribute>

Untuk mengetahui informasi selengkapnya tentang cara memformat elemen NameID, lihat persyaratan pernyataan SSO.

"Layanan ini tidak dapat diakses karena masa berlaku kredensial login Anda telah berakhir. Login dan coba lagi."

Demi alasan keamanan, alur login SSO harus selesai dalam jangka waktu tertentu, atau autentikasi akan gagal. Jika jam pada Penyedia Identitas Anda salah, kebanyakan atau semua upaya login akan tampak di luar jangka waktu yang ditentukan, dan autentikasinya akan gagal dengan pesan error di atas.

  • Periksa jam pada server Penyedia Identitas Anda. Error ini hampir selalu disebabkan oleh jam Penyedia Identitas yang salah, yang menambahkan stempel waktu yang salah pada Respons SAML.
  • Sinkronkan ulang jam server Penyedia Identitas dengan server waktu internet yang dapat diandalkan. Jika masalah ini tiba-tiba muncul dalam lingkungan produksi, ini biasanya disebabkan oleh sinkronisasi waktu terakhir yang gagal, sehingga menyebabkan waktu server menjadi tidak akurat. Mengulangi sinkronisasi waktu (mungkin dengan server waktu yang lebih dapat diandalkan) akan memperbaiki masalah ini dengan cepat.
  • Masalah ini juga dapat terjadi jika Anda mengirim ulang SAML dari upaya login sebelumnya. Memeriksa Permintaan dan Respons SAML (diperoleh dari log header HTTP yang direkam selama upaya login) dapat membantu Anda melakukan debug masalah ini lebih lanjut.

"Layanan ini tidak dapat diakses karena kredensial login Anda belum valid. Login dan coba lagi."

Demi alasan keamanan, alur login SSO harus selesai dalam jangka waktu tertentu, atau autentikasi akan gagal. Jika jam pada Penyedia Identitas Anda salah, kebanyakan atau semua upaya login akan tampak di luar jangka waktu yang ditentukan, dan autentikasinya akan gagal dengan pesan error di atas.

  • Periksa jam pada server Penyedia Identitas Anda. Error ini hampir selalu disebabkan oleh jam Penyedia Identitas yang salah, yang menambahkan stempel waktu yang salah pada Respons SAML.
  • Sinkronkan ulang jam server Penyedia Identitas dengan server waktu internet yang dapat diandalkan. Jika masalah ini tiba-tiba muncul dalam lingkungan produksi, ini biasanya disebabkan oleh sinkronisasi waktu terakhir yang gagal, sehingga menyebabkan waktu server menjadi tidak akurat. Mengulangi sinkronisasi waktu (mungkin dengan server waktu yang lebih dapat diandalkan) akan memperbaiki masalah ini dengan cepat.