Esta página se ha traducido con Cloud Translation API.

Solucionar problemas de SAML en Google SecOps SOAR

Disponible en:

SOAR

En este documento se explica cómo solucionar problemas habituales que pueden surgir con la autenticación SAML en tu plataforma SOAR de Google Security Operations.

En esta sección se indica cómo solucionar errores de autenticación SAML.

No se ha encontrado la aplicación en el directorio

Mensaje: AADSTS700016: Application with identifier 'https://yyy.yyyyyy.com/api/auth/saml/metadata' was not found in the directory 'yyy'.

Explicación: Hay un error de coincidencia entre la configuración de Azure AD (SAML básico) y el sistema.

Solución: En Azure AD, asigna el valor del ID de entidad del proveedor de servicios al campo Identificador (ID de entidad) y asegúrate de que la URL de respuesta (ACS) coincida con la de tu proveedor de servicios. Confirma que estás en el inquilino correcto y que los usuarios están asignados a la aplicación.

Valor no válido para saml:AuthnContextDeclRef

Mensaje: Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenReadException: IDX13102: Exception thrown while reading 'System.String' for Saml2SecurityToken. Inner exception: System.ArgumentException.

Explicación: Este error indica que el valor de saml:AuthnContextDeclRef en la respuesta SAML no es válido.

Corrección: decodifica e inspecciona la respuesta SAML. Si el proveedor de identidades envía un AuthnContextDeclRef no válido, quítelo o cambie a un saml:AuthnContextClassRef compatible (por ejemplo, urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport).

System.ArgumentException: "System.String" debe ser un URI absoluto

Mensaje: /ds:Signature>saml:Subject<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" System.ArgumentException: IDX13300: 'System.String' must be an absolute URI, was: 'System.Uri"></saml:NameID>

Explicación: NameID Format debe ser un URI absoluto (URN) válido admitido por el proveedor de servicios y el valor <saml:NameID> debe estar presente.

Corrección: define el parámetro DefaultNameIDFormat en tu configuración de SAML con una de las siguientes opciones:

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (más común)
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient

No se han encontrado atributos de usuario y el campo `LoginIdentifier` es obligatorio

Mensaje: logs Server error Login error for user _yyyyyyyyyyyyyyyyyyyyyyy. User attributes were not found for creating new followed by Error: register : The LoginIdentifier field is required.

Explicación: Si el aprovisionamiento Just-In-Time (JIT) está habilitado, el proveedor de servicios busca al usuario mediante NameID (o un atributo asignado). El valor entrante no coincide con ningún ID de inicio de sesión.

Corrección: El proveedor de identidades debe configurarse para enviar un valor que coincida con el campo ID de inicio de sesión de la gestión de usuarios (Configuración > Gestión de usuarios). Este valor puede ser la dirección de correo del usuario u otro ID único.

El tipo de usuario no coincide

Mensaje: Login error for user user@user.com. User type (Internal) does not match to this type of authentication (External).

Explicación: Ya existe una cuenta con el mismo ID de inicio de sesión como Interna, pero la autenticación SAML requiere un usuario Externo.

Corrección: cambia el tipo de usuario del usuario que ya existe y cuyo nombre de usuario está en conflicto a Externo para que coincida con el método de autenticación SAML.

Bucle de redirección

Si tu instancia está configurada para redirigir automáticamente a la página de inicio de sesión del IdP y se produce un bucle de redirección continuo, puedes inhabilitar temporalmente la redirección automática añadiendo el siguiente texto al nombre de host de tu instancia:

/#/login?autoExternalLogin=false

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.