Afficher les erreurs de provisionnement automatique

Lorsque vous configurez la gestion automatique de vos applications SAML, les erreurs suivantes peuvent s'afficher :

Poursuivez la lecture de cet article pour savoir comment déboguer et résoudre ces erreurs.

Échecs au moment de la configuration

Erreur de code d'autorisation

Cette erreur s'affiche lorsque le code d'autorisation ne peut pas être échangé contre un jeton d'actualisation. Cela peut se produire si votre code d'autorisation est incorrect ou si vous attendez trop longtemps pour cliquer sur Enregistrer les modifications après avoir confirmé l'autorisation. Renouvelez l'autorisation et enregistrez vos modifications pour résoudre cette erreur.

Message d'erreur Solution
Impossible de générer le jeton d'autorisation. Recommencez la procédure d'autorisation et enregistrez à nouveau les modifications.

Erreur de page obsolète

Cette erreur se produit lorsque la page du navigateur de l'utilisateur n'a pas été actualisée et que la configuration a changé au cours de cette session de navigation (soit à partir d'une autre fenêtre de navigateur, soit à l'initiative d'un autre utilisateur). Voici les erreurs associées qui peuvent se produire :

Message d'erreur Solution
Votre page est obsolète. Une configuration de la gestion des comptes existe. Actualisez la page pour remplacer la configuration existante.
Votre page est obsolète. Aucune configuration de la gestion des comptes n'existe. Actualisez la page pour remplacer la configuration existante.
Votre page est obsolète. Impossible d'activer une configuration de gestion des comptes inexistante. Actualisez la page pour remplacer la configuration existante.
Votre page est obsolète. Impossible de supprimer une configuration de gestion des comptes inexistante. Actualisez la page pour remplacer la configuration existante.

Erreur de page temporaire

Ces erreurs sont temporaires et devraient être résolues si vous actualisez la page ou réessayez l'action après un certain temps.

Message d'erreur Solution
Impossible de récupérer la configuration de la gestion des comptes Actualisez la page.
Impossible de récupérer la préconfiguration de la gestion des comptes Actualisez la page.
Impossible de récupérer l'état du provisionnement Actualisez la page.
Échec de l'activation du provisionnement Réessayez d'activer le provisionnement.
Erreur lors de la suppression de la configuration du provisionnement Réessayez de supprimer la configuration.
Impossible de créer la configuration de la gestion des comptes Créez à nouveau votre configuration de gestion des comptes et enregistrez vos modifications.
Impossible de mettre à jour la configuration de la gestion des comptes Renouvelez la mise à jour de votre configuration de gestion des comptes et enregistrez vos modifications.
Impossible de récupérer les attributs personnalisés Réessayez d'enregistrer vos attributs personnalisés.
Impossible de mettre à jour le mappage d'attributs Renouvelez la mise à jour de la mise en correspondance des attributs.
Impossible de mettre à jour les paramètres du groupe pour la gestion automatique des comptes Renouvelez la mise à jour des paramètres de votre groupe.
Impossible de mettre à jour la configuration de l'annulation de la gestion Renouvelez la mise à jour de votre configuration de l'annulation de gestion des comptes.
La configuration a bien été supprimée, mais l'accès au client API n'a pas pu être révoqué

Lors de la suppression de la configuration, nous révoquons les autorisations qui permettent à votre application d'accéder à vos données Google secondaires.

Si cette action échoue pour une raison quelconque, accédez à la page Gérer l'accès du client API dans la section Sécurité pour révoquer manuellement l'accès.

Si vous avez supprimé la configuration et avez l'intention de la configurer à nouveau, aucune action n'est requise de votre part.
Erreur lors de la mise à jour de la configuration du provisionnement Actualisez la page.
Échec de l'authentification Les identifiants d'authentification (par exemple, le jeton de support) fournis dans la configuration sont incorrects. Saisissez les bons identifiants.
L'URL du point de terminaison SCIM fournie est incorrecte. Le point de terminaison cible que vous avez fourni n'est pas valide. Saisissez l'URL correcte.
Erreur lors de l'activation du provisionnement Déplacez le curseur Provisionnement automatique sur Activé.
Erreur lors de la suppression de la configuration du provisionnement
  1. Cliquez sur Provisionnement automatique pour ouvrir les paramètres.
  2. Sous Supprimer la configuration, cliquez sur Supprimer.
Impossible de récupérer les attributs de votre fournisseur de services cible.
  1. Cliquez sur Provisionnement automatique pour ouvrir les paramètres.
  2. Sous Mappage des attributs, cliquez sur Modifier.
  3. Modifiez les mappages des fournisseurs de services en fonction de vos besoins.
Impossible de récupérer le schéma de votre ressource cible. Vérifiez l'URL du point de terminaison fournie lors de la configuration de la gestion automatique des comptes, puis réessayez de mapper les attributs de l'annuaire cloud aux attributs de l'application cible.

Échec de l'exécution de la gestion automatique

Les échecs d'exécution de la gestion automatique peuvent être dus à des problèmes d'accès à l'API, d'autorisation ou de configuration.

Erreurs liées aux services internes de Google

Code d'erreur Description et résolution
17003
17006
17008

Description :

Authentification impossible auprès des services internes de Google.

Explication :

Les autorisations ont été révoquées pour l'ID client de gestion des comptes utilisateur suivant :

910835873219-es01p47a1ks618hgp59q26cnc6sv33r3.apps.googleusercontent.com

Solution :

Assurez-vous que cet ID dispose d'autorisations pour les champs d'application suivants :

https://www.googleapis.com/auth/admin.directory.user.readonly,
https://www.googleapis.com/auth/admin.directory.userschema.readonly,
https://www.googleapis.com/auth/admin.directory.group.member.readonly

Dans la console d'administration, utilisez l'option Gérer l'accès au client API sous Sécurité > Paramètres avancés pour vérifier que l'ID client dispose de ces habilitations ou pour ajouter ces habilitations à cet ID client.
17007

Description :

Impossible d'accorder l'accès à des applications compatibles avec la gestion automatique des comptes via la délégation au niveau du domaine.

Impossible d'accorder la délégation au niveau du domaine au service de gestion automatique des comptes. Cela est essentiel pour que le service de provisionnement automatique puisse lire le répertoire Google.

Motifs :

Motif 1 : les autorisations ont été révoquées pour l'ID client de gestion des comptes utilisateur.

Résolutions :

Dans la console d'administration, utilisez Gérer l'accès au client API sous Sécurité > Paramètres avancés pour ajouter l'ID client et les champs d'application suivants :

ID client :
910835873219-es01p47a1ks618hgp59q26cnc6sv33r3.apps.googleusercontent.com

Champs d'application :

https://www.googleapis.com/auth/admin.directory.user.readonly,
https://www.googleapis.com/auth/admin.directory.userschema.readonly,
https://www.googleapis.com/auth/admin.directory.group.member.readonly

Une autre solution consiste à supprimer l'application en question, puis à l'ajouter de nouveau.

Motif 2 : Erreurs système inattendues

Solution :

Dans la plupart des cas, cette erreur se résout automatiquement. Toutefois, si le problème persiste après quelques heures, ajoutez l'ID client et les champs d'application, ou supprimez et ajoutez de nouveau l'application, comme indiqué pour le motif 1 ci-dessus.

Erreurs liées au jeton d'authentification

Code d'erreur Description et motif Solution
17010

Identifiants insuffisants pour passer des appels à votre point de terminaison SCIM.

Motif : Le jeton d'authentification a été révoqué.

 Essayez d'accorder à nouveau l'autorisation en cliquant sur Gestion automatique des comptes pour ouvrir les paramètres, puis sur Réautoriser.
17013

Une erreur s'est produite lors de la récupération d'un jeton d'accès auprès de votre fournisseur de services.

Motif : Le jeton d'authentification a été révoqué.

 Si cette erreur ne se résout pas automatiquement après un certain temps, réessayez en cliquant sur Gestion automatique des comptes pour ouvrir les paramètres, puis sur Réautoriser.

Erreurs liées au jeton d'accès

Code d'erreur Description et motif Solution
17002
17011

Impossible de générer un jeton d'accès.

Motif : Certains services internes de Google ne sont pas disponibles pour le moment.

 Cette erreur devrait se résoudre automatiquement après quelques minutes.
17009 Échec de la génération du jeton d'accès à partir du jeton d'actualisation. Essayez d'accorder à nouveau l'autorisation en cliquant sur Gestion automatique des comptes pour ouvrir les paramètres, puis sur Réautoriser.

Erreurs générales

Code d'erreur Description et motif Solution
1200x

Erreur interne

 Cette erreur devrait se résoudre automatiquement après quelques minutes.
25001 Le service de backend Google n'est pas disponible pour le moment. Configurez de nouveau le provisionnement automatique.
25002

Le service de backend Google n'est pas disponible pour le moment.

Motif : l'application n'a pas été installée pour le client.

 Installez l'application, puis configurez de nouveau la gestion automatique des comptes.
25005 Le service de backend Google n'est pas disponible pour le moment. Cette erreur devrait se résoudre automatiquement après quelques minutes.
25016 Le service de backend Google n'est pas disponible pour le moment. Configurez de nouveau le provisionnement automatique.
50001 Erreur interne Cette erreur devrait se résoudre automatiquement après quelques minutes.
50003 Erreur interne Cette erreur devrait se résoudre automatiquement après quelques minutes.
50005 Un groupe supprimé est présent dans les filtres de groupe configurés. Retirez le groupe supprimé de la configuration de la portée du provisionnement.
50006 Erreur interne Cette erreur devrait se résoudre automatiquement après quelques minutes.

Échecs au niveau des ressources

Si la section "Gestion automatique des comptes" indique Échecs sur la page des paramètres de l'application SAML, cliquez sur Télécharger la liste. Le fichier téléchargé répertorie les actions de création, de suppression ou de mise à jour, ainsi qu'un code d'erreur et une description pour chaque échec.

Ces erreurs n'affectent que les ressources spécifiées dans le fichier.

Code d'erreur Description de l'erreur Solution
45003

La demande de mise à jour, de création ou de suppression des ressources n'a pas été acceptée par votre application SCIM. Consultez les détails de l'erreur dans le fichier d'erreurs téléchargé.

Raisons possibles :

  1. Nombre maximal de licences dépassé : vous ne disposez de licences que pour cinq utilisateurs sur votre application SCIM, et vous avez activé la gestion automatique pour six utilisateurs.
  2. Valeur trop longue : la valeur que vous avez saisie (par exemple, l'ID de l'adresse e-mail) est trop longue et irrecevable pour votre application SCIM.
  3. Vous devez disposer d'au moins un droit, notamment l'ID du profil.
  4. Le nom d'utilisateur existe déjà. Celui-ci doit être unique dans l'ensemble de l'organisation.
  5. Impossible de trouver la ressource (utilisateur) auprès du fournisseur de services.
  6. Valeur de l'ID utilisateur SCIM non valide.
 Corrigez l'erreur et réessayez après avoir enregistré les modifications.
45004

Une erreur s'est produite entre le fournisseur de services et Google en tant que fournisseur d'identité. Le texte de l'erreur est "Erreur interne - Quota dépassé".

Motifs possibles :

  • Une interruption affectant le fournisseur de services.
  • Le serveur du fournisseur de services est arrêté.
 Contactez le fournisseur de services.
45005 Le point de terminaison SCIM que vous avez configuré est inaccessible. Vérifiez le point de terminaison SCIM indiqué dans la console d'administration. Corrigez l'erreur et réessayez après avoir enregistré les modifications.
45006

La demande de mise à jour, de création ou de suppression des ressources n'a pas été créée correctement ou acceptée par votre application SCIM. Consultez les détails de l'erreur dans le fichier d'erreurs téléchargé.

Raisons possibles :

  1. Valeur trop longue
  2. Nombre insuffisant de licences
  3. Licence non valide
  4. Valeur de droit inexistante
 Corrigez l'erreur et réessayez après avoir enregistré les modifications.
45016

La demande de mise à jour, de création ou de suppression des ressources n'a pas été acceptée par votre application SCIM, car vous n'avez pas renseigné l'un des champs obligatoires. Consultez les détails de l'erreur dans le fichier d'erreurs téléchargé.

 Corrigez l'erreur et réessayez après avoir enregistré les modifications.