Rozwiązywanie problemów z logowaniem jednokrotnym (SSO)

„Ta domena nie została skonfigurowana do korzystania z logowania jednokrotnego”.

Ten błąd oznacza zazwyczaj, że używasz wersji Google Workspace, która nie obsługuje logowania jednokrotnego (np. wycofanej, bezpłatnej wersji G Suite). Wszystkie obecne wersje Workspace obsługują logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.

Jeśli korzystasz z wersji Google Workspace, która obsługuje SSO, wypróbuj te rozwiązania:

• Sprawdź, czy konfiguracja logowania jednokrotnego u dostawcy tożsamości używa prawidłowej nazwy domeny Google Workspace.
• Jeśli ten błąd wystąpi po skonfigurowaniu profili logowania jednokrotnego, dostawca tożsamości może być skonfigurowany tak, aby wysyłać potwierdzenie SAML do starszego punktu końcowego profilu logowania jednokrotnego. Jeśli dostawca tożsamości ma na stałe zakodowany starszy punkt końcowy logowania jednokrotnego, wykonaj te czynności:
  1. Skonfiguruj starsze logowanie jednokrotne.
  2. Poproś dostawcę tożsamości o zaktualizowanie integracji z Google.

„Nie można uzyskać dostępu do tego konta, ponieważ domena jest skonfigurowana nieprawidłowo. Spróbuj później."

Ten błąd oznacza, że logowanie jednokrotne zostało nieprawidłowo skonfigurowane w konsoli administracyjnej Google. Aby rozwiązać ten problem, wykonaj opisane poniżej czynności:

1. W konsoli administracyjnej kliknij ZabezpieczeniaKonfigurowanie logowania jednokrotnego (SSO) przy użyciu zewnętrznego dostawcy tożsamości i zaznacz pole Skonfiguruj logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.
2. W odpowiednich polach podaj adresy URL strony logowania, strony wylogowywania oraz strony zmiany hasła Twojej organizacji.
3. Wybierz i prześlij poprawny certyfikat weryfikacji.
4. Kliknij Zapisz, poczekaj kilka minut, aż zmiany zaczną obowiązywać, i ponownie spróbuj przeprowadzić integrację.

Najemca Google skonfigurowany z niedozwolonym prefiksem

W przypadku aplikacji na iOS, gdy URL strony logowania jednokrotnego zaczyna się od „google.” (lub kilku podobnych wartości), aplikacja Google na iOS jest przekierowywana do Safari. W rezultacie proces logowania jednokrotnego kończy się niepowodzeniem. Pełna lista niedozwolonych prefiksów:

• googl.
• google.
• www.googl.
• www.google.

Jeśli używasz adresów URL stron logowania jednokrotnego z tymi prefiksami, musisz je zmienić.

„Brak wymaganego parametru odpowiedzi SAMLResponse”

Ten komunikat o błędzie oznacza, że Twój dostawca tożsamości nie podaje Google prawidłowej odpowiedzi SAML. Taka sytuacja jest niemal na pewno spowodowana problemem z konfiguracją dostawcy tożsamości.

• Sprawdź dzienniki dostawcy tożsamości i upewnij się, że nic nie uniemożliwia mu prawidłowego zwracania odpowiedzi SAML.
• Upewnij się, że dostawca tożsamości nie wysyła do Google Workspace odpowiedzi SAML w postaci zaszyfrowanej. Google Workspace akceptuje tylko niezaszyfrowane odpowiedzi SAML. W szczególności zwróć uwagę na fakt, że oprogramowanie Active Directory Federation Services 2.0 firmy Microsoft często wysyła zaszyfrowane odpowiedzi SAML w konfiguracjach domyślnych.

„Brak wymaganego parametru odpowiedzi RelayState”

Specyfikacja SAML 2.0 wymaga, aby dostawca tożsamości pobrał od dostawców zasobów (takich jak Google Workspace) parametr adresu URL RelayState i odesłał go. Google Workspace podaje tę wartość dostawcy tożsamości w żądaniu SAML, a jej dokładna zawartość może być inna przy każdym logowaniu. Aby uwierzytelnienie przebiegło pomyślnie, w odpowiedzi SAML musi być zwrócony dokładny parametr RelayState. Zgodnie ze specyfikacją standardu SAML dostawca tożsamości nie powinien zmieniać parametru RelayState w przepływie logowania.

• Ten problem można zdiagnozować dokładniej, przechwytując nagłówki HTTP podczas próby logowania. Wyodrębnij parametr RelayState z nagłówków HTTP zawierających zarówno żądanie, jak i odpowiedź SAML oraz upewnij się, że wartości parametru RelayState w żądaniu i odpowiedzi są takie same.
• Większość komercyjnych lub działających na licencji open-source dostawców tożsamości na potrzeby logowania jednokrotnego domyślnie przekazuje parametr RelayState bezproblemowo. Aby zapewnić optymalny poziom bezpieczeństwa i niezawodności, zalecamy użycie jednego z tych istniejących rozwiązań. Nie możemy zaoferować pomocy technicznej do niestandardowego oprogramowania logowania jednokrotnego.

„Nie można skorzystać z tej usługi, ponieważ żądanie logowania zawierało nieprawidłowe informacje o [miejscu docelowym|odbiorcach|adresacie]. Zaloguj się i spróbuj ponownie”.

Ten błąd oznacza, że element destination (miejsce docelowe), audience (odbiorcy) lub recipient (adresat) w potwierdzeniu SAML zawierał nieprawidłowe informacje lub był pusty. Potwierdzenie SAML musi zawierać wszystkie elementy. W tabelach w artykule Wymagania potwierdzenia logowania jednokrotnego znajdziesz opisy i przykłady poszczególnych elementów:

• Używanie elementów i atrybutów – profile SSO
• Używanie elementów i atrybutów – starszy profil SSO

„Nie można uzyskać dostępu do tej usługi, ponieważ żądanie logowania nie zawierało informacji o adresacie. Zaloguj się i spróbuj ponownie”.

Ten komunikat o błędzie zazwyczaj oznacza, że w odpowiedzi SAML otrzymanej od dostawcy tożsamości brakuje czytelnej wartości Recipient (lub że wartość Recipient jest nieprawidłowa). Wartość Recipient jest ważnym składnikiem odpowiedzi SAML.

1. Ten problem można zdiagnozować dokładniej, przechwytując nagłówki HTTP podczas próby logowania.
2. Wyodrębnij żądanie i odpowiedź SAML z nagłówków HTTP.
3. Upewnij się, że odpowiedź SAML zawiera wartość Recipient i że ta wartość odpowiada wartości w żądaniu SAML.

Uwaga: ten komunikat o błędzie może mieć też postać „Nie można uzyskać dostępu do tej usługi, bo Twoje żądanie logowania zawierało nieprawidłowe informacje o adresacie. Zaloguj się i spróbuj ponownie”.

„Nie można uzyskać dostępu do tego konta, ponieważ nie można potwierdzić danych logowania”.

Ten komunikat o błędzie oznacza, że występuje problem z certyfikatami używanymi do podpisywania przepływu uwierzytelnienia. Zazwyczaj oznacza to, że klucz prywatny używany do podpisywania odpowiedzi SAML nie pasuje do certyfikatu klucza publicznego zapisanego w danych Google Workspace.

Błąd ten może wystąpić również wtedy, gdy odpowiedź SAML nie zawiera właściwej nazwy użytkownika Google. Google Workspace analizuje odpowiedź SAML pod kątem elementu XML o nazwie NameID i oczekuje, że ten element będzie zawierał nazwę użytkownika Google Workspace lub pełny adres e-mail Google Workspace.

• Upewnij się, że do Google Workspace został przesłany ważny certyfikat, i w razie potrzeby koniecznie go zastąp. W konsoli administracyjnej Google kliknij ZabezpieczeniaKonfigurowanie logowania jednokrotnego (SSO) przy użyciu zewnętrznego dostawcy tożsamości i kliknij Zamień certyfikat.
• Jeśli w elemencie NameID używasz pełnego adresu e-mail (musisz to robić, jeśli korzystasz z SSO w środowisku Apps z wieloma domenami), sprawdź, czy atrybut Format elementu NameID określa, że należy używać pełnego adresu e-mail, jak w tym przykładzie: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
• Sprawdź, czy element NameID zawiera prawidłową nazwę użytkownika lub adres e-mail. Aby zyskać co do tego pewność, wyodrębnij odpowiedź SAML wysyłaną do Google Workspace i sprawdź wartość elementu NameID.
• W identyfikatorze NameID jest rozróżniana wielkość liter. Upewnij się, że odpowiedź SAML zawiera element NameID z wartością odpowiadającą nazwie użytkownika lub adresowi e-mail Google Workspace.
• Jeśli Twój dostawca tożsamości szyfruje potwierdzenie SAML, wyłącz szyfrowanie.
• Upewnij się, że odpowiedź SAML nie zawiera żadnych niestandardowych znaków ASCII. Błąd ten występuje najczęściej w atrybutach DisplayName, GivenName i Surname elementu AttributeStatement, na przykład:
  • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
  • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
    <AttributeValue>Blüte</AttributeValue> </Attribute>

Więcej informacji o formatowaniu elementu NameID znajdziesz w artykule Wymagania potwierdzenia logowania jednokrotnego.

„Nie można skorzystać z tej usługi, ponieważ wygasła ważność danych logowania. Zaloguj się i spróbuj ponownie”.

Ze względów bezpieczeństwa proces logowania jednokrotnego musi zakończyć się w określonym przedziale czasu. W przeciwnym razie uwierzytelnianie się nie powiedzie. Jeśli zegar na serwerze dostawcy tożsamości nie jest prawidłowo wyregulowany, większość prób logowania będzie uznawanych za przekraczające dopuszczalny czas i uwierzytelnianie będzie kończyło się niepowodzeniem oraz wyświetleniem wskazanego powyżej komunikatu o błędzie.

• Sprawdź zegar na serwerze dostawcy tożsamości. Ten błąd jest niemal zawsze powodowany źle wyregulowanym zegarem dostawcy tożsamości, który dodaje nieprawidłowe sygnatury czasowe do odpowiedzi SAML.
• Zsynchronizuj zegar na serwerze dostawcy tożsamości z wiarygodnym internetowym serwerem czasu. Jeśli ten problem występuje nagle w środowisku produkcyjnym, zazwyczaj jest spowodowany niepowodzeniem ostatniej synchronizacji czasu, które doprowadziło do rozregulowania czasu serwera. Ponowienie próby zsynchronizowania czasu (jeśli to możliwe, użyj bardziej wiarygodnego serwera czasu) pozwala szybko wyeliminować ten błąd.
• Ten problem może także wystąpić w przypadku ponownego wysłania danych SAML z poprzedniej próby logowania. W takim przypadku można go rozwiązać, sprawdzając żądanie i odpowiedź SAML (uzyskane z dzienników nagłówka HTTP przechwyconych podczas próby logowania).

„Nie można skorzystać z tej usługi, ponieważ Twoje dane logowania nie zostały jeszcze zweryfikowane. Zaloguj się i spróbuj ponownie”.

Ze względów bezpieczeństwa proces logowania jednokrotnego musi zakończyć się w określonym przedziale czasu. W przeciwnym razie uwierzytelnianie się nie powiedzie. Jeśli zegar na serwerze dostawcy tożsamości nie jest prawidłowo wyregulowany, większość prób logowania będzie uznawanych za przekraczające dopuszczalny czas i uwierzytelnianie będzie kończyło się niepowodzeniem oraz wyświetleniem wskazanego powyżej komunikatu o błędzie.

• Sprawdź zegar na serwerze dostawcy tożsamości. Ten błąd jest niemal zawsze powodowany źle wyregulowanym zegarem dostawcy tożsamości, który dodaje nieprawidłowe sygnatury czasowe do odpowiedzi SAML.
• Zsynchronizuj zegar na serwerze dostawcy tożsamości z wiarygodnym internetowym serwerem czasu. Jeśli ten problem występuje nagle w środowisku produkcyjnym, zazwyczaj jest spowodowany niepowodzeniem ostatniej synchronizacji czasu, które doprowadziło do rozregulowania czasu serwera. Ponowienie próby zsynchronizowania czasu (jeśli to możliwe, użyj bardziej wiarygodnego serwera czasu) pozwala szybko wyeliminować ten błąd.