Se usó la API de Cloud Translation para traducir esta página.

Soluciona problemas de SAML en Google SecOps SOAR

Compatible con:

SOAR

En este documento, se explica cómo solucionar problemas comunes que puedes encontrar con la autenticación de SAML en tu plataforma de SOAR de Google Security Operations.

En esta sección, se indica cómo solucionar problemas de errores de autenticación de SAML con resoluciones.

No se encontró la aplicación en el directorio

Mensaje: AADSTS700016: Application with identifier 'https://yyy.yyyyyy.com/api/auth/saml/metadata' was not found in the directory 'yyy'.

Explicación: Existe una discrepancia entre la configuración en Azure AD (SAML básico) y el sistema.

Corrección: En Azure AD, configura Identifier (Entity ID) como el ID de entidad del SP y asegúrate de que la URL de respuesta (ACS) coincida con tu SP. Confirma que estás en el arrendatario correcto y que los usuarios están asignados a la app.

Valor no válido para saml:AuthnContextDeclRef

Mensaje: Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenReadException: IDX13102: Exception thrown while reading 'System.String' for Saml2SecurityToken. Inner exception: System.ArgumentException.

Explicación: Este error indica un valor no válido para saml:AuthnContextDeclRef en la respuesta de SAML.

Corrección: Decodifica e inspecciona la respuesta de SAML. Si el IdP envía un AuthnContextDeclRef no válido, quítalo o cambia a un saml:AuthnContextClassRef compatible (por ejemplo, urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport).

System.ArgumentException: "System.String" debe ser un URI absoluto

Mensaje: /ds:Signature>saml:Subject<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" System.ArgumentException: IDX13300: 'System.String' must be an absolute URI, was: 'System.Uri"></saml:NameID>

Explicación: El NameID Format debe ser un URI absoluto (URN) válido admitido por el SP, y el valor de <saml:NameID> debe estar presente.

Corrección: Establece el parámetro DefaultNameIDFormat en tu configuración de SAML en una de las siguientes opciones:

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (más común)
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient

No se encontraron atributos del usuario y el campo `LoginIdentifier` es obligatorio

Mensaje: logs Server error Login error for user _yyyyyyyyyyyyyyyyyyyyyyy. User attributes were not found for creating new followed by Error: register : The LoginIdentifier field is required.

Explicación: Con el aprovisionamiento Just-In-Time (JIT) habilitado, el SP busca al usuario con NameID (o un atributo asignado). El valor entrante no coincide con ningún ID de acceso existente.

Corrección: El IdP debe configurarse para enviar un valor que coincida con el campo ID de acceso en la administración de usuarios (Configuración > Administración de usuarios). Este valor puede ser la dirección de correo electrónico del usuario o algún otro ID único.

Incompatibilidad de tipo de usuario

Mensaje: Login error for user user@user.com. User type (Internal) does not match to this type of authentication (External).

Explicación: Existe una cuenta con el mismo ID de acceso como Interna, pero la autenticación de SAML requiere un usuario Externo.

Corrección: Cambia el tipo de usuario del usuario existente con el nombre de usuario en conflicto a Externo para que coincida con el método de autenticación de SAML.

Bucle de redireccionamiento

Si tu instancia está configurada para redireccionar automáticamente a la página de acceso del IdP y encuentras un bucle de redireccionamiento continuo, puedes inhabilitar temporalmente el redireccionamiento automático agregando el siguiente texto al nombre de host de tu instancia:

/#/login?autoExternalLogin=false

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.