Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Probleme mit SAML in Google SecOps SOAR beheben

Unterstützt in:

SOAR

In diesem Dokument wird beschrieben, wie Sie häufige Probleme beheben, die bei der SAML-Authentifizierung in Ihrer Google Security Operations SOAR-Plattform auftreten können.

Anwendung nicht im Verzeichnis gefunden

Nachricht: AADSTS700016: Application with identifier 'https://yyy.yyyyyy.com/api/auth/saml/metadata' was not found in the directory 'yyy'.

Erläuterung: Es gibt eine Abweichung zwischen der Konfiguration in Azure AD (Basic SAML) und dem System.

Lösung: Legen Sie in Azure AD Identifier (Entity ID) (ID) auf die Entitäts-ID des SP fest und prüfen Sie, ob die Reply URL (ACS) (Antwort-URL) mit Ihrem SP übereinstimmt. Bestätigen Sie, dass Sie sich im richtigen Mandanten befinden und dass Nutzer der App zugewiesen sind.

Ungültiger Wert für saml:AuthnContextDeclRef

Nachricht: Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenReadException: IDX13102: Exception thrown while reading 'System.String' for Saml2SecurityToken. Inner exception: System.ArgumentException.

Erläuterung: Dieser Fehler weist auf einen ungültigen Wert für saml:AuthnContextDeclRef in der SAML-Antwort hin.

Lösung: Decodieren und prüfen Sie die SAML-Antwort. Wenn der IdP eine ungültige AuthnContextDeclRef sendet, entfernen Sie sie oder wechseln Sie zu einer unterstützten saml:AuthnContextClassRef (z. B. urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport).

System.ArgumentException: 'System.String' must be an absolute URI

Nachricht: /ds:Signature>saml:Subject<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" System.ArgumentException: IDX13300: 'System.String' must be an absolute URI, was: 'System.Uri"></saml:NameID>

Erläuterung: Das NameID Format muss ein gültiger absoluter URI (URN) sein, der vom SP unterstützt wird, und der Wert <saml:NameID> muss vorhanden sein.

Lösung: Legen Sie den Parameter DefaultNameIDFormat in Ihrer SAML-Konfiguration auf eine der folgenden Optionen fest:

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (am häufigsten)
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient

Nutzerattribute nicht gefunden und das Feld `LoginIdentifier` ist erforderlich

Nachricht: logs Server error Login error for user _yyyyyyyyyyyyyyyyyyyyyyy. User attributes were not found for creating new followed by Error: register : The LoginIdentifier field is required.

Erläuterung: Wenn die Just-in-Time-Bereitstellung (JIT) aktiviert ist, sucht der SP nach dem Nutzer anhand der NameID (oder eines zugeordneten Attributs). Der eingehende Wert stimmt mit keiner vorhandenen Anmelde-ID überein.

Lösung: Der IdP muss so konfiguriert sein, dass er einen Wert sendet, der mit dem Feld Login ID (Anmelde-ID) in der Nutzerverwaltung übereinstimmt (Einstellungen > Nutzerverwaltung). Dieser Wert kann die E-Mail-Adresse des Nutzers oder eine andere eindeutige ID sein.

Nutzer-Typ stimmt nicht überein

Nachricht: Login error for user user@user.com. User type (Internal) does not match to this type of authentication (External).

Erläuterung: Ein Konto mit derselben Anmelde-ID ist als Internal (Intern) vorhanden, aber für die SAML-Authentifizierung ist ein External (Extern)-Nutzer erforderlich.

Lösung: Ändern Sie den Nutzertyp des vorhandenen Nutzers mit dem in Konflikt stehenden Nutzernamen in External (Extern), damit er mit der SAML-Authentifizierungsmethode übereinstimmt.

Weiterleitungsschleife

Wenn Ihre Instanz für die automatische Weiterleitung zur Anmeldeseite des IdP konfiguriert ist und eine kontinuierliche Weiterleitungsschleife auftritt, können Sie die automatische Weiterleitung vorübergehend deaktivieren, indem Sie den folgenden Text an den Hostnamen Ihrer Instanz anhängen:

/#/login?autoExternalLogin=false

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten