Khắc phục sự cố đăng nhập một lần (SSO)

"Miền này chưa được định cấu hình để sử dụng tính năng đăng nhập một lần."

Lỗi này thường cho biết rằng bạn đang sử dụng một phiên bản Google Workspace không hỗ trợ tính năng đăng nhập một lần (chẳng hạn như phiên bản cũ miễn phí của G Suite). Tất cả các phiên bản Workspace hiện tại đều hỗ trợ SSO thông qua Nhà cung cấp dịch vụ danh tính (IdP) bên thứ ba.

Nếu bạn đang sử dụng một phiên bản Google Workspace có hỗ trợ tính năng SSO, hãy thử các giải pháp khác sau:

• Xác minh rằng cấu hình SSO của IdP đang sử dụng đúng tên miền Google Workspace.
• Nếu bạn gặp lỗi này sau khi thiết lập cấu hình SSO, thì có thể IdP của bạn được định cấu hình để gửi câu khẳng định SAML đến điểm cuối cấu hình SSO cũ. Nếu IdP của bạn có điểm cuối SSO cũ được mã hoá cứng, vui lòng làm như sau:
  1. Thiết lập SSO cũ.
  2. Yêu cầu nhà cung cấp IdP cập nhật chế độ tích hợp với Google.

"Không thể truy cập tài khoản này vì miền không được định cấu hình đúng. Vui lòng thử lại sau."

Lỗi này cho biết bạn chưa thiết lập SSO đúng cách trong Bảng điều khiển dành cho quản trị viên của Google. Hãy xem các bước sau để khắc phục tình trạng này:

1. Trong Bảng điều khiển dành cho quản trị viên, hãy chuyển đến phần Bảo mật Thiết lập dịch vụ đăng nhập một lần (SSO) bằng IdP bên thứ ba, rồi đánh dấu vào mục Thiết lập dịch vụ đăng nhập một lần (SSO) bằng nhà cung cấp danh tính bên thứ ba.
2. Cung cấp URL cho trang đăng nhập, trang đăng xuất và trang thay đổi mật khẩu của tổ chức trong các trường tương ứng.
3. Chọn và tải một tệp chứng chỉ xác minh hợp lệ lên.
4. Nhấp vào Lưu, đợi vài phút để các thay đổi có hiệu lực rồi kiểm tra lại chế độ tích hợp.

Đối tượng thuê Google được định cấu hình bằng tiền tố bị cấm

Với các ứng dụng iOS, khi URL trang Đăng nhập một lần (SSO) bắt đầu bằng "google." (hoặc một số biến thể), ứng dụng Google trên iOS sẽ được chuyển hướng đến Safari. Điều này khiến quá trình SSO không thành công. Sau đây là danh sách đầy đủ các tiền tố bị cấm:

• googl.
• google.
• www.googl.
• www.google.

Bạn cần thay đổi mọi URL trang Đăng nhập một lần (SSO) có các tiền tố này.

"Thiếu tham số phản hồi bắt buộc SAMLResponse"

Thông báo lỗi này cho biết Nhà cung cấp danh tính của bạn không cung cấp cho Google một Phản hồi SAML hợp lệ nào đó. Vấn đề này gần như chắc chắn là do vấn đề về cấu hình trong Nhà cung cấp danh tính.

• Kiểm tra nhật ký của Nhà cung cấp danh tính và đảm bảo rằng không có yếu tố nào ngăn nhà cung cấp này trả về Phản hồi SAML một cách chính xác.
• Đảm bảo rằng Nhà cung cấp danh tính của bạn không gửi Phản hồi SAML được mã hoá cho Google Workspace. Google Workspace chỉ chấp nhận Phản hồi SAML chưa được mã hoá. Cụ thể, xin lưu ý rằng Active Directory Federation Services 2.0 của Microsoft thường gửi Phản hồi SAML được mã hoá trong cấu hình mặc định.

"Thiếu tham số phản hồi bắt buộc RelayState"

Quy cách SAML 2.0 yêu cầu Nhà cung cấp dịch vụ danh tính truy xuất và gửi lại tham số URL RelayState từ Nhà cung cấp tài nguyên (chẳng hạn như Google Workspace). Google Workspace cung cấp giá trị này cho Nhà cung cấp dịch vụ nhận dạng trong Yêu cầu SAML và nội dung chính xác có thể khác nhau trong mỗi lần đăng nhập. Để quá trình xác thực hoàn tất thành công, bạn phải trả về chính xác RelayState trong Phản hồi SAML. Theo quy cách tiêu chuẩn SAML, Nhà cung cấp danh tính của bạn không được sửa đổi RelayState trong quy trình đăng nhập.

• Chẩn đoán thêm vấn đề này bằng cách ghi lại tiêu đề HTTP trong quá trình đăng nhập. Trích xuất RelayState từ tiêu đề HTTP bằng cả Yêu cầu và Phản hồi SAML, đồng thời đảm bảo rằng các giá trị RelayState trong Yêu cầu và Phản hồi khớp nhau.
• Hầu hết các Nhà cung cấp danh tính SSO mã nguồn mở hoặc có sẵn trên thị trường đều truyền RelayState một cách liền mạch theo mặc định. Để có tính bảo mật và độ tin cậy tối ưu, bạn nên sử dụng một trong những giải pháp hiện có này. Chúng tôi không thể hỗ trợ phần mềm SSO tuỳ chỉnh của riêng bạn.

"Không thể truy cập dịch vụ này do yêu cầu đăng nhập của bạn chứa thông tin [đích đến|đối tượng|người nhận] không hợp lệ. Vui lòng đăng nhập rồi thử lại."

Lỗi này cho biết rằng các phần tử đích đến, đối tượng hoặc người nhận trong câu khẳng định SAML chứa thông tin không hợp lệ hoặc bị trống. Bạn phải đưa tất cả các phần tử vào câu khẳng định SAML. Hãy xem các bảng sau đây trong phần Yêu cầu về câu khẳng định SSO để biết nội dung mô tả và ví dụ cho từng phần tử:

• Sử dụng các phần tử và thuộc tính – Cấu hình SSO
• Sử dụng các phần tử và thuộc tính – cấu hình SSO cũ

"Bạn không thể truy cập dịch vụ này vì yêu cầu đăng nhập của bạn không chứa thông tin người nhận. Vui lòng đăng nhập rồi thử lại."

Lỗi này thường cho biết Phản hồi SAML từ Nhà cung cấp danh tính của bạn thiếu giá trị Recipient (Người nhận) có thể đọc được (hoặc giá trị Recipient không chính xác). Giá trị Recipient là một thành phần quan trọng của Phản hồi SAML.

1. Chẩn đoán thêm vấn đề này bằng cách ghi lại tiêu đề HTTP trong quá trình đăng nhập.
2. Trích xuất Yêu cầu và Phản hồi SAML từ tiêu đề HTTP.
3. Đảm bảo rằng giá trị Recipient trong Phản hồi SAML tồn tại và khớp với giá trị trong Yêu cầu SAML.

Lưu ý: Thông báo lỗi này cũng có thể xuất hiện dưới dạng "Bạn không thể truy cập vào dịch vụ này vì yêu cầu đăng nhập của bạn có chứa thông tin người nhận không hợp lệ. Vui lòng đăng nhập rồi thử lại."

"Không thể truy cập tài khoản này vì không thể xác minh thông tin đăng nhập."

Lỗi này cho biết có vấn đề với các chứng chỉ mà bạn đang dùng để ký quy trình xác thực. Điều này thường có nghĩa là khoá riêng tư dùng để ký Phản hồi SAML không khớp với chứng chỉ khoá công khai mà Google Workspace có trong tệp.

Lỗi này cũng có thể xảy ra nếu Phản hồi SAML của bạn không chứa tên người dùng hợp lệ của Tài khoản Google. Google Workspace phân tích cú pháp Phản hồi SAML cho một phần tử XML có tên là NameID và yêu cầu phần tử này chứa tên người dùng Google Workspace hoặc địa chỉ email đầy đủ của Google Workspace.

• Đảm bảo rằng bạn đã tải một chứng chỉ hợp lệ lên Google Workspace và thay thế chứng chỉ nếu cần. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Bảo mật Thiết lập dịch vụ đăng nhập một lần (SSO) bằng IdP bên thứ ba rồi nhấp vào Thay thế chứng chỉ.
• Nếu bạn đang sử dụng địa chỉ email đầy đủ trong phần tử NameID (bạn phải sử dụng nếu đang dùng tính năng Đăng nhập một lần với môi trường Apps có nhiều miền), hãy đảm bảo rằng thuộc tính Format của phần tử NameID chỉ định rằng bạn phải sử dụng địa chỉ email đầy đủ, như trong ví dụ sau: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
• Đảm bảo rằng bạn đang điền phần tử NameID bằng tên người dùng hoặc địa chỉ email hợp lệ. Để chắc chắn, hãy trích xuất Phản hồi SAML mà bạn đang gửi đến Google Workspace và kiểm tra giá trị của phần tử NameID.
• NameID có phân biệt chữ hoa chữ thường: đảm bảo rằng Phản hồi SAML đang điền NameID bằng một giá trị trùng khớp với cách viết hoa và viết thường của tên người dùng hoặc địa chỉ email trên Google Workspace.
• Nếu Nhà cung cấp dịch vụ nhận dạng của bạn đang mã hoá Câu nhận định SAML, hãy tắt tính năng mã hoá.
• Đảm bảo rằng Phản hồi SAML không chứa bất kỳ ký tự ASCII không theo tiêu chuẩn nào. Vấn đề này thường xảy ra nhất trong các thuộc tính DisplayName, GivenName và Surname trong AttributeStatement, ví dụ:
  • <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Blüte, Eva</AttributeValue> </Attribute>
  • <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
    <AttributeValue>Blüte</AttributeValue> </Attribute>

Để biết thêm thông tin về cách định dạng phần tử NameID, hãy xem Các yêu cầu về câu khẳng định SSO.

"Bạn không thể truy cập dịch vụ này vì thông tin đăng nhập của bạn đã hết hạn. Vui lòng đăng nhập rồi thử lại."

Vì lý do bảo mật, quy trình đăng nhập bằng SSO phải hoàn tất trong một khoảng thời gian nhất định, nếu không quá trình xác thực sẽ thất bại. Nếu đồng hồ trên Nhà cung cấp danh tính của bạn không chính xác, thì hầu hết hoặc tất cả các lần đăng nhập sẽ nằm ngoài khung thời gian chấp nhận được và quá trình xác thực sẽ không thành công kèm theo thông báo lỗi nêu trên.

• Kiểm tra đồng hồ trên máy chủ của Nhà cung cấp danh tính. Lỗi này hầu như luôn xảy ra do đồng hồ của Nhà cung cấp danh tính không chính xác, dẫn đến việc thêm dấu thời gian không chính xác vào Phản hồi SAML.
• Đồng bộ hoá lại đồng hồ của máy chủ Nhà cung cấp dịch vụ danh tính với một máy chủ thời gian đáng tin cậy trên Internet. Khi vấn đề này đột ngột xảy ra trong môi trường sản xuất, thường là do lần đồng bộ hoá gần đây nhất không thành công, khiến thời gian của máy chủ trở nên không chính xác. Việc lặp lại quá trình đồng bộ hoá thời gian (có thể với một máy chủ thời gian đáng tin cậy hơn) sẽ nhanh chóng khắc phục vấn đề này.
• Vấn đề này cũng có thể xảy ra nếu bạn đang gửi lại SAML từ một lần đăng nhập trước đó. Việc kiểm tra Yêu cầu và Phản hồi SAML (lấy từ nhật ký tiêu đề HTTP được ghi lại trong quá trình đăng nhập) có thể giúp bạn gỡ lỗi thêm.

"Bạn không thể truy cập dịch vụ này vì thông tin đăng nhập của bạn chưa hợp lệ. Vui lòng đăng nhập rồi thử lại."

Vì lý do bảo mật, quy trình đăng nhập bằng SSO phải hoàn tất trong một khoảng thời gian nhất định, nếu không quá trình xác thực sẽ thất bại. Nếu đồng hồ trên Nhà cung cấp danh tính của bạn không chính xác, thì hầu hết hoặc tất cả các lần đăng nhập sẽ nằm ngoài khung thời gian chấp nhận được và quá trình xác thực sẽ không thành công kèm theo thông báo lỗi nêu trên.

• Kiểm tra đồng hồ trên máy chủ của Nhà cung cấp danh tính. Lỗi này hầu như luôn xảy ra do đồng hồ của Nhà cung cấp danh tính không chính xác, dẫn đến việc thêm dấu thời gian không chính xác vào Phản hồi SAML.
• Đồng bộ hoá lại đồng hồ của máy chủ Nhà cung cấp dịch vụ danh tính với một máy chủ thời gian đáng tin cậy trên Internet. Khi vấn đề này đột ngột xảy ra trong môi trường sản xuất, thường là do lần đồng bộ hoá gần đây nhất không thành công, khiến thời gian của máy chủ trở nên không chính xác. Việc lặp lại quá trình đồng bộ hoá thời gian (có thể với một máy chủ thời gian đáng tin cậy hơn) sẽ nhanh chóng khắc phục vấn đề này.