Résoudre les problèmes liés à SAML dans Google SecOps SOAR
Ce document explique comment résoudre les problèmes courants que vous pouvez rencontrer avec l'authentification SAML dans votre plate-forme Google Security Operations SOAR.
Cette section explique comment résoudre les erreurs d'authentification SAML.
Application introuvable dans l'annuaire
Message : AADSTS700016: Application with identifier 'https://yyy.yyyyyy.com/api/auth/saml/metadata' was not found in the directory 'yyy'.
Explication : la configuration dans Azure AD (SAML de base) ne correspond pas à celle du système.
Solution : Dans Azure AD, définissez Identifiant (ID d'entité) sur l'ID d'entité du fournisseur de services et assurez-vous que l'URL de réponse (ACS) correspond à votre fournisseur de services. Vérifiez que vous êtes dans le bon locataire et que les utilisateurs sont attribués à l'application.
Valeur non valide pour saml:AuthnContextDeclRef
Message : Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenReadException: IDX13102: Exception thrown while reading 'System.String' for Saml2SecurityToken. Inner exception: System.ArgumentException.
Explication : cette erreur indique une valeur non valide pour saml:AuthnContextDeclRef dans la réponse SAML.
Solution : Décodez et inspectez la réponse SAML. Si le fournisseur d'identité envoie un AuthnContextDeclRef non valide, supprimez-le ou passez à un saml:AuthnContextClassRef compatible (par exemple, urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport).
System.ArgumentException : "System.String" doit être un URI absolu
Message : /ds:Signature>saml:Subject<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" System.ArgumentException: IDX13300: 'System.String' must be an absolute URI, was: 'System.Uri"></saml:NameID>
Explication : NameID Format doit être un URI (URN) absolu valide accepté par le fournisseur de services, et la valeur <saml:NameID> doit être présente.
Corriger : définissez le paramètre DefaultNameIDFormat dans votre configuration SAML sur l'une des options suivantes :
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress(le plus courant)urn:oasis:names:tc:SAML:2.0:nameid-format:persistenturn:oasis:names:tc:SAML:2.0:nameid-format:transient
Attributs utilisateur introuvables et champ LoginIdentifier obligatoire
Message : logs Server error Login error for user _yyyyyyyyyyyyyyyyyyyyyyy. User attributes were not found for creating new followed by Error: register : The LoginIdentifier field is required.
Explication : lorsque le provisionnement juste-à-temps (JIT) est activé, le fournisseur de services recherche l'utilisateur à l'aide de NameID (ou d'un attribut mappé). La valeur entrante ne correspond à aucun identifiant de connexion existant.
Solution : L'IdP doit être configuré pour envoyer une valeur correspondant au champ ID de connexion dans la gestion des utilisateurs (Paramètres > Gestion des utilisateurs). Cette valeur peut être l'adresse e-mail de l'utilisateur ou un autre ID unique.
Les types d'utilisateur ne correspondent pas
Message : Login error for user user@user.com. User type (Internal) does not match to this type of authentication (External).
Explication : Un compte avec le même ID de connexion existe en tant qu'utilisateur interne, mais l'authentification SAML nécessite un utilisateur externe.
Solution : Modifiez le type d'utilisateur de l'utilisateur existant dont le nom d'utilisateur est en conflit en le définissant sur Externe pour qu'il corresponde à la méthode d'authentification SAML.
Boucle de redirection
Si votre instance est configurée pour une redirection automatique vers la page de connexion de l'IdP et que vous rencontrez une boucle de redirection continue, vous pouvez désactiver temporairement la redirection automatique en ajoutant le texte suivant au nom d'hôte de votre instance :
/#/login?autoExternalLogin=false
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.