Diese Seite wurde von der Cloud Translation API übersetzt.

SAML-Probleme in Google SecOps SOAR beheben

Unterstützt in:

SOAR

In diesem Dokument wird beschrieben, wie Sie häufige Probleme mit der SAML-Authentifizierung in Ihrer Google Security Operations SOAR-Plattform beheben können.

In diesem Abschnitt wird beschrieben, wie Sie SAML-Authentifizierungsfehler beheben.

Anwendung im Verzeichnis nicht gefunden

Nachricht: AADSTS700016: Application with identifier 'https://yyy.yyyyyy.com/api/auth/saml/metadata' was not found in the directory 'yyy'.

Erklärung: Es gibt eine Diskrepanz zwischen der Konfiguration in Azure AD (Basic SAML) und dem System.

Lösung: Legen Sie in Azure AD Identifier (Entity ID) auf die Entitäts-ID des Dienstanbieters fest und achten Sie darauf, dass die Reply URL (ACS) mit Ihrem Dienstanbieter übereinstimmt. Prüfen Sie, ob Sie sich im richtigen Mandanten befinden und ob Nutzer der App zugewiesen sind.

Ungültiger Wert für „saml:AuthnContextDeclRef“

Nachricht: Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenReadException: IDX13102: Exception thrown while reading 'System.String' for Saml2SecurityToken. Inner exception: System.ArgumentException.

Erklärung: Dieser Fehler weist auf einen ungültigen Wert für saml:AuthnContextDeclRef in der SAML-Antwort hin.

Lösung: Decodieren Sie die SAML-Antwort und prüfen Sie sie. Wenn der IdP ein ungültiges AuthnContextDeclRef sendet, entfernen Sie es oder wechseln Sie zu einem unterstützten saml:AuthnContextClassRef (z. B. urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport).

System.ArgumentException: „System.String“ muss ein absoluter URI sein

Nachricht: /ds:Signature>saml:Subject<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" System.ArgumentException: IDX13300: 'System.String' must be an absolute URI, was: 'System.Uri"></saml:NameID>

Erklärung: NameID Format muss ein gültiger absoluter URI (URN) sein, der vom SP unterstützt wird, und der Wert <saml:NameID> muss vorhanden sein.

Lösung: Legen Sie den Parameter DefaultNameIDFormat in Ihrer SAML-Konfiguration auf eine der folgenden Optionen fest:

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (am häufigsten)
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient

Nutzerattribute nicht gefunden und das Feld `LoginIdentifier` ist erforderlich

Nachricht: logs Server error Login error for user _yyyyyyyyyyyyyyyyyyyyyyy. User attributes were not found for creating new followed by Error: register : The LoginIdentifier field is required.

Erklärung: Wenn die JIT-Bereitstellung aktiviert ist, sucht der SP den Nutzer anhand von NameID (oder einem zugeordneten Attribut). Der eingehende Wert stimmt mit keiner vorhandenen Anmelde-ID überein.

Lösung: Der IdP muss so konfiguriert sein, dass er einen Wert sendet, der mit dem Feld Anmelde-ID in der Nutzerverwaltung (Einstellungen > Nutzerverwaltung) übereinstimmt. Dieser Wert kann die E-Mail-Adresse des Nutzers oder eine andere eindeutige ID sein.

Nutzertyp stimmt nicht überein

Nachricht: Login error for user user@user.com. User type (Internal) does not match to this type of authentication (External).

Erklärung: Ein Konto mit derselben Anmelde-ID ist als Intern vorhanden, aber für die SAML-Authentifizierung ist ein Externer Nutzer erforderlich.

Lösung: Ändern Sie den Nutzertyp des vorhandenen Nutzers mit dem in Konflikt stehenden Nutzernamen in Extern, damit er mit der SAML-Authentifizierungsmethode übereinstimmt.

Weiterleitungsschleife

Wenn Ihre Instanz für die automatische Weiterleitung zur Anmeldeseite des Identitätsanbieters konfiguriert ist und Sie eine kontinuierliche Weiterleitungsschleife feststellen, können Sie die automatische Weiterleitung vorübergehend deaktivieren, indem Sie den folgenden Text an den Hostnamen Ihrer Instanz anhängen:

/#/login?autoExternalLogin=false

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten