Risolvere i problemi relativi al Single Sign-On (SSO)

"Il dominio non è configurato per l'utilizzo della funzionalità Single Sign-On."

Questo errore indica in genere che stai utilizzando una versione di Google Workspace che non supporta l'accesso SSO (ad esempio la versione senza costi precedente di G Suite). Tutte le versioni di Workspace attuali supportano SSO tramite un provider di identità (IdP) di terze parti.

Se utilizzi una versione di Google Workspace che supporta l'SSO, prova queste altre soluzioni:

• Verifica che la configurazione SSO del tuo IdP utilizzi il nome di dominio Google Workspace corretto.
• Se ricevi questo errore dopo aver configurato i profili SSO, il tuo IdP potrebbe essere configurato per inviare l'asserzione SAML all'endpoint del profilo SSO legacy. Se l'endpoint SSO legacy è codificato nell'IdP, procedi nel seguente modo:
  1. Configura il servizio SSO legacy.
  2. Chiedi al fornitore del tuo IdP di aggiornare l'integrazione di Google.

"Impossibile accedere all'account poiché il dominio non è correttamente configurato. Riprova più tardi".

Questo errore indica che il servizio SSO non è stato configurato correttamente nella Console di amministrazione Google. Esegui i seguenti passaggi per risolvere il problema:

1. Nella Console di amministrazione, vai a Sicurezza Configura il Single Sign-On (SSO) con un provider di identità di terze parti e seleziona Configura SSO con provider di identità di terze parti.
2. Inserisci gli URL per le pagine di accesso, uscita e modifica della password della tua organizzazione nei campi corrispondenti.
3. Scegli e carica un file di certificato di verifica valido.
4. Fai clic su Salva, attendi alcuni minuti affinché le modifiche abbiano effetto, quindi verifica di nuovo l'integrazione.

Tenant Google configurato con il prefisso vietato

Nelle applicazioni iOS, quando l'URL della pagina di accesso SSO inizia con "google." (o una sua variante), l'app Google per iOS viene reindirizzata a Safari. Questo comportamento causa un errore del processo SSO. Di seguito è riportato l'elenco completo dei prefissi da non utilizzare:

• googl.
• google.
• www.googl.
• www.google.

Tutti gli URL della pagina di accesso SSO che contengono questi prefissi devono essere modificati.

"Il parametro di risposta richiesto SAMLResponse era mancante"

Questo messaggio di errore indica che il provider di identità non fornisce a Google alcuna risposta SAML valida. Ciò è quasi certamente dovuto a un problema di configurazione del provider di identità.

• Esamina i log del provider di identità e assicurati che non vi siano problemi che impediscono la corretta restituzione della risposta SAML.
• Accertati che il tuo provider di identità non stia inviando a Google Workspace una risposta SAML criptata. Google Workspace accetta solo risposte SAML non criptate. In particolare, tieni presente che il server Active Directory Federation Services 2.0 di Microsoft, quando viene utilizzato in configurazioni predefinite, invia spesso risposte SAML criptate.

"Il parametro di risposta richiesto RelayState era mancante"

La specifica SAML 2.0 richiede che i provider di identità recuperino e restituiscano un parametro URL RelayState dai provider di risorse quali, ad esempio, Google Workspace. Google Workspace fornisce questo valore al provider di identità all'interno della richiesta SAML e l'esatto contenuto può essere diverso a ogni accesso. Per il corretto completamento dell'autenticazione, nella risposta SAML deve essere restituito il contenuto esatto del parametro RelayState. In base alla specifica standard SAML, il tuo provider di identità non dovrebbe modificare il parametro RelayState durante il flusso di accesso.

• Per diagnosticare ulteriormente questo problema, è necessario acquisire le intestazioni HTTP durante un tentativo di accesso. Estrai il parametro RelayState dalle intestazioni HTTP sia con la richiesta sia con la risposta SAML e assicurati che i valori di RelayState nella richiesta e nella risposta corrispondano.
• Per impostazione predefinita, la maggior parte dei provider di identità SSO disponibili sul mercato oppure open source trasmette senza problemi il parametro RelayState. Per una sicurezza e un'affidabilità ottimali, consigliamo di utilizzare una delle soluzioni esistenti; non siamo in grado di offrire assistenza per il tuo software SSO personalizzato.

"Non è stato possibile accedere a questo servizio perché la richiesta di accesso contiene informazioni [destination|audience|recipient] errate. Esegui l'accesso e riprova".

Questo errore indica che gli elementi destination, audience o recipient dell'asserzione SAML contenevano dati non validi o erano vuoti. Tutti gli elementi devono essere inclusi nell'asserzione SAML. Consulta le seguenti tabelle in Requisiti per l'asserzione SSO per descrizioni ed esempi relativi a ciascun elemento:

• Utilizzare elementi e attributi: profili SSO
• Utilizzare elementi e attributi: profilo SSO legacy

"Impossibile accedere a questo servizio in quanto la richiesta di accesso non contiene i dati del destinatario. Esegui l'accesso e riprova".

Questo errore di solito indica che la risposta SAML restituita dal provider di identità non contiene un valore Recipient leggibile (o che il valore Recipient non è corretto). Il valore Recipient è una componente importante della risposta SAML.

1. Per diagnosticare ulteriormente questo problema, è necessario acquisire le intestazioni HTTP durante un tentativo di accesso.
2. Estrai la richiesta e la risposta SAML dalle intestazioni HTTP.
3. Assicurati che il valore Recipient nella risposta SAML sia esistente e che corrisponda al valore nella richiesta SAML.

Nota: è possibile che questo messaggio di errore venga visualizzato come "Impossibile accedere al servizio perché la richiesta di accesso contiene informazioni sul destinatario non valide. Esegui l'accesso e riprova".

"Impossibile accedere all'account poiché non è stato possibile verificare i dati di accesso."

Questo errore indica un problema con i certificati che utilizzi per firmare il flusso di autenticazione. Di solito significa che la chiave privata utilizzata per firmare la risposta SAML non corrisponde al certificato di chiave pubblica archiviato da Google Workspace.

Questo messaggio di errore potrebbe anche indicare che la risposta SAML non contiene un nome utente di Account Google utilizzabile. Google Workspace analizza la risposta SAML al fine di individuare un elemento XML denominato NameID e il contenuto previsto di questo elemento è un nome utente o un indirizzo email di Google Workspace completo.

• Assicurati di aver caricato un certificato valido in Google Workspace e, se necessario, sostituiscilo. Nella Console di amministrazione Google, vai a Sicurezza Configura il Single Sign-On (SSO) con un provider di identità di terze parti e fai clic su Sostituisci certificato.
• Se utilizzi un indirizzo email completo nell'elemento NameID (devi farlo se utilizzi il Single Sign-On con un ambiente Apps multidominio), assicurati che l'attributo Format dell'elemento NameID specifichi che deve essere utilizzato un indirizzo email completo, come nel seguente esempio: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
• Assicurati di aver compilato l'elemento NameID con un nome utente o un indirizzo email valido. Per averne la certezza, estrai la risposta SAML che stai inviando a Google Workspace e controlla il valore dell'elemento NameID.
• NameID è sensibile alle maiuscole: assicurati che la risposta SAML completi l'elemento NameID con un valore che corrisponda esattamente al nome utente o all'indirizzo email di Google Workspace.
• Se il provider di identità sta criptando la tua asserzione SAML, disattiva la crittografia.
• Assicurati che la risposta SAML non includa caratteri ASCII non standard. Questo problema si verifica più comunemente negli attributi DisplayName, GivenName e Surname dell'elemento AttributeStatement, ad esempio:
  • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
  • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
    <AttributeValue>Blüte</AttributeValue> </Attribute>

Per saperne di più su come formattare l'elemento NameID, consulta i requisiti per l'asserzione SSO.

"Impossibile accedere a questo servizio poiché i dati di accesso sono scaduti. Esegui l'accesso e riprova".

Per motivi di sicurezza, il flusso di accesso SSO deve essere completato entro un periodo di tempo determinato, altrimenti l'autenticazione ha esito negativo. Se l'orologio del tuo provider di identità non è preciso, gran parte dei tentativi di accesso, se non tutti, saranno esterni al periodo di tempo accettabile e l'autenticazione non riuscirà, restituendo il messaggio di errore sopra riportato.

• Controlla l'orologio sul server del tuo provider di identità. Questo errore è quasi sempre causato da un orologio del provider di identità non preciso che aggiunge timestamp non corretti alla risposta SAML.
• Esegui nuovamente la sincronizzazione dell'orologio del server del provider di identità con un server di riferimento ora su internet più affidabile. In genere, quando questo problema si presenta all'improvviso in un ambiente di produzione, il motivo è la mancata riuscita dell'ultima sincronizzazione temporale, che comporta l'imprecisione dell'ora del server. Ripetendo la sincronizzazione dell'ora (possibilmente con un server di riferimento dell'ora più affidabile) risolverai rapidamente il problema.
• Questo problema può inoltre presentarsi quando si invia nuovamente la risposta SAML da un tentativo di accesso precedente. L'esame della richiesta e della risposta SAML (ottenute dai log delle intestazioni HTTP rilevate durante un tentativo di accesso) può aiutarti a eseguire ulteriormente il debug.

"Impossibile accedere a questo servizio perché i dati di accesso non sono ancora validi. Esegui l'accesso e riprova".

Per motivi di sicurezza, il flusso di accesso SSO deve essere completato entro un periodo di tempo determinato, altrimenti l'autenticazione ha esito negativo. Se l'orologio del tuo provider di identità non è preciso, gran parte dei tentativi di accesso, se non tutti, saranno esterni al periodo di tempo accettabile e l'autenticazione non riuscirà, restituendo il messaggio di errore sopra riportato.

• Controlla l'orologio sul server del tuo provider di identità. Questo errore è quasi sempre causato da un orologio del provider di identità non preciso che aggiunge timestamp non corretti alla risposta SAML.
• Esegui nuovamente la sincronizzazione dell'orologio del server del provider di identità con un server di riferimento ora su internet più affidabile. In genere, quando questo problema si presenta all'improvviso in un ambiente di produzione, il motivo è la mancata riuscita dell'ultima sincronizzazione temporale, che comporta l'imprecisione dell'ora del server. Ripetendo la sincronizzazione dell'ora (possibilmente con un server di riferimento dell'ora più affidabile) risolverai rapidamente il problema.