Устранение неполадок единого входа (SSO)

«Для этого домена не настроена единая авторизация».

Эта ошибка обычно указывает на то, что вы используете версию Google Workspace, которая не поддерживает единый вход (например, устаревшую бесплатную версию G Suite). Все текущие версии Workspace поддерживают единый вход через стороннего поставщика идентификации (IdP).

Если вы используете версию Google Workspace, поддерживающую единый вход (SSO), попробуйте следующие решения:

• Убедитесь, что в конфигурации SSO вашего поставщика идентификации используется правильное доменное имя Google Workspace.
• Если после настройки профилей SSO вы получаете эту ошибку, возможно, ваш поставщик идентификации (IdP) настроен на отправку утверждения SAML на устаревшую конечную точку профиля SSO. Если в вашем IdP устаревшая конечная точка SSO жестко задана, выполните следующие действия:
  1. Настройка устаревшей системы единого входа (SSO) .
  2. Попросите вашего поставщика идентификационных данных обновить интеграцию с Google.

«Невозможно получить доступ к этой учетной записи, поскольку домен настроен неправильно. Пожалуйста, попробуйте позже.»

Эта ошибка указывает на то, что вы неправильно настроили единый вход (SSO) в консоли администратора Google. Для исправления ситуации выполните следующие действия:

1. В консоли администратора перейдите в раздел «Безопасность» . Настройте единый вход (SSO) с помощью стороннего поставщика идентификации и установите флажок «Настроить SSO с помощью стороннего поставщика идентификации» .
2. Укажите URL-адреса страницы входа, страницы выхода и страницы смены пароля вашей организации в соответствующих полях.
3. Выберите и загрузите файл с действительным сертификатом подтверждения .
4. Нажмите «Сохранить» , подождите несколько минут, пока изменения вступят в силу, и снова протестируйте интеграцию.

В настройках клиента Google указан запрещенный префикс.

В приложениях iOS, если URL страницы входа через SSO начинается с "google." (или какого-либо другого варианта), приложение Google iOS перенаправляется в Safari. Это приводит к сбою процесса SSO. Полный список запрещенных префиксов:

• гугл.
• Google.
• www.googl.
• www.google.

Вам потребуется изменить все URL-адреса страниц входа через единый вход (SSO), содержащие эти префиксы.

«Отсутствует необходимый параметр ответа SAMLResponse».

Это сообщение об ошибке указывает на то, что ваш поставщик удостоверений не предоставляет Google действительный SAML-ответ какого-либо типа. Эта проблема почти наверняка связана с ошибкой конфигурации в поставщике удостоверений.

• Проверьте журналы вашего поставщика идентификации и убедитесь, что ничто не препятствует корректному возврату SAML-ответа.
• Убедитесь, что ваш поставщик идентификации не отправляет Google Workspace зашифрованный SAML-ответ. Google Workspace принимает только незашифрованные SAML-ответы. В частности, обратите внимание, что служба федерации Active Directory 2.0 от Microsoft часто отправляет зашифрованные SAML-ответы в конфигурациях по умолчанию.

«Отсутствовал необходимый параметр ответа RelayState».

Спецификация SAML 2.0 требует, чтобы поставщики идентификации получали и отправляли обратно параметр RelayState URL от поставщиков ресурсов (например, Google Workspace). Google Workspace предоставляет это значение поставщику идентификации в запросе SAML, и его точное содержимое может отличаться при каждом входе в систему. Для успешного завершения аутентификации в ответе SAML должно быть возвращено точное значение RelayState. Согласно спецификации стандарта SAML, ваш поставщик идентификации не должен изменять RelayState во время процесса входа в систему.

• Для дальнейшей диагностики проблемы перехватите HTTP-заголовки во время попытки входа в систему. Извлеките значение RelayState из HTTP-заголовков как запроса, так и ответа SAML, и убедитесь, что значения RelayState в запросе и ответе совпадают.
• Большинство коммерчески доступных или открытых поставщиков услуг SSO Identity Provider по умолчанию передают RelayState без проблем. Для обеспечения оптимальной безопасности и надежности мы рекомендуем использовать одно из этих существующих решений, и мы не можем оказывать поддержку для вашего собственного программного обеспечения SSO.

«Доступ к этой услуге невозможен, поскольку ваш запрос на вход содержал неверную информацию о [получателе|аудитории|получателе]. Пожалуйста, войдите в систему и попробуйте снова».

Эта ошибка указывает на то, что элементы destination , audience или recipient в утверждении SAML содержали недопустимую информацию или были пустыми. Все элементы должны быть включены в утверждение SAML. Для получения описаний и примеров каждого элемента см. следующие таблицы в разделе «Требования к утверждениям SSO» :

• Использование элементов и атрибутов — профили единого входа (SSO).
• Использование элементов и атрибутов — устаревший профиль единого входа (SSO)

«Доступ к этой услуге невозможен, поскольку ваш запрос на вход не содержал информации о получателе. Пожалуйста, войдите в систему и попробуйте снова.»

Эта ошибка обычно указывает на то, что в SAML-ответе от вашего поставщика идентификации отсутствует читаемое значение получателя (или что значение получателя неверно). Значение получателя является важным компонентом SAML-ответа.

1. Для более детальной диагностики проблемы проведите анализ HTTP-заголовков во время попытки входа в систему.
2. Извлеките SAML-запрос и ответ из HTTP-заголовков.
3. Убедитесь, что значение Recipient в ответе SAML существует и совпадает со значением в запросе SAML.

Примечание: Это сообщение об ошибке также может отображаться как «Невозможно получить доступ к этой службе, поскольку ваш запрос на вход содержал неверные данные получателя. Пожалуйста, войдите в систему и попробуйте снова».

«Доступ к этой учетной записи невозможен, поскольку учетные данные для входа не были проверены».

Эта ошибка указывает на проблему с сертификатами, используемыми для подписи потока аутентификации. Обычно это означает, что закрытый ключ, используемый для подписи ответа SAML, не совпадает с открытым ключом сертификата, хранящегося в Google Workspace.

Это также может произойти, если ваш SAML-ответ не содержит корректного имени пользователя Google Accounts. Google Workspace анализирует SAML-ответ на наличие XML-элемента, называемого NameID , и ожидает, что этот элемент будет содержать имя пользователя Google Workspace или полный адрес электронной почты Google Workspace.

• Убедитесь, что вы загрузили действительный сертификат в Google Workspace, и при необходимости замените его. В консоли администратора Google перейдите в раздел «Безопасность» . Настройте единый вход (SSO) с помощью стороннего поставщика идентификации (IdP) и нажмите «Заменить сертификат» .
• Если вы используете полный адрес электронной почты в элементе NameID (это необходимо, если вы используете SSO в многодоменной среде приложений), убедитесь, что атрибут Format элемента NameID указывает на использование полного адреса электронной почты, как в следующем примере: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
• Убедитесь, что вы заполняете элемент NameID действительным именем пользователя или адресом электронной почты. Для большей уверенности извлеките SAML-ответ, который вы отправляете в Google Workspace, и проверьте значение элемента NameID .
• NameID чувствителен к регистру: убедитесь, что в ответе SAML значение NameID соответствует регистру имени пользователя или адреса электронной почты Google Workspace.
• Если ваш поставщик идентификационных данных шифрует ваше SAML-утверждение, отключите шифрование.
• Убедитесь, что SAML-ответ не содержит нестандартных символов ASCII . Эта проблема чаще всего возникает в атрибутах DisplayName, GivenName и Surname в AttributeStatement, например:
  • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
  • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
    <AttributeValue>Blüte</AttributeValue> </Attribute>

Для получения дополнительной информации о форматировании элемента NameID см. раздел «Требования к утверждению SSO» .

«Доступ к этой услуге невозможен, поскольку срок действия ваших учетных данных истек. Пожалуйста, войдите в систему и попробуйте снова.»

В целях безопасности процесс авторизации через единый вход (SSO) должен завершиться в течение определенного промежутка времени, иначе аутентификация не удастся. Если часы вашего поставщика идентификации показывают неправильное время, большинство или все попытки входа будут отображаться вне допустимого временного интервала, и аутентификация завершится с ошибкой, указанной выше.

• Проверьте время на сервере вашего поставщика идентификационных данных. Эта ошибка почти всегда вызвана неверными часами поставщика идентификационных данных, что приводит к добавлению некорректных меток времени в SAML-ответ.
• Повторно синхронизируйте часы сервера поставщика идентификации с надежным интернет-сервером времени. Когда эта проблема внезапно возникает в производственной среде, это обычно происходит из-за сбоя последней синхронизации времени, что приводит к неточности времени на сервере. Повторная синхронизация времени (возможно, с более надежным сервером времени) быстро устранит эту проблему.
• Эта проблема также может возникнуть, если вы повторно отправляете SAML-запрос после предыдущей попытки входа в систему. Анализ ваших SAML-запросов и ответов (полученных из HTTP-заголовков, перехваченных во время попытки входа в систему) может помочь в дальнейшей отладке.

«Доступ к этой услуге невозможен, поскольку ваши учетные данные для входа пока недействительны. Пожалуйста, войдите в систему и попробуйте снова.»

В целях безопасности процесс авторизации через единый вход (SSO) должен завершиться в течение определенного промежутка времени, иначе аутентификация не удастся. Если часы вашего поставщика идентификации показывают неправильное время, большинство или все попытки входа будут отображаться вне допустимого временного интервала, и аутентификация завершится с ошибкой, указанной выше.

• Проверьте время на сервере вашего поставщика идентификационных данных. Эта ошибка почти всегда вызвана неверными часами поставщика идентификационных данных, что приводит к добавлению некорректных меток времени в SAML-ответ.
• Повторно синхронизируйте часы сервера поставщика идентификации с надежным интернет-сервером времени. Когда эта проблема внезапно возникает в производственной среде, это обычно происходит из-за сбоя последней синхронизации времени, что приводит к неточности времени на сервере. Повторная синхронизация времени (возможно, с более надежным сервером времени) быстро устранит эту проблему.