Halaman ini diterjemahkan oleh Cloud Translation API.

Memecahkan masalah SAML di Google SecOps SOAR

Didukung di:

SOAR

Dokumen ini menjelaskan cara memecahkan masalah umum yang mungkin Anda alami terkait autentikasi SAML di platform SOAR Google Security Operations.

Bagian ini mencantumkan cara memecahkan masalah error autentikasi SAML dengan penyelesaiannya.

Aplikasi tidak ditemukan di direktori

Pesan: AADSTS700016: Application with identifier 'https://yyy.yyyyyy.com/api/auth/saml/metadata' was not found in the directory 'yyy'.

Penjelasan: Ada ketidakcocokan antara konfigurasi di Azure AD (SAML Dasar) dan sistem.

Perbaikan: Di Azure AD, tetapkan Identifier (Entity ID) ke ID Entitas SP dan pastikan Reply URL (ACS) cocok dengan SP Anda; konfirmasi bahwa Anda berada di tenant yang benar dan pengguna ditetapkan ke aplikasi.

Nilai tidak valid untuk saml:AuthnContextDeclRef

Pesan: Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenReadException: IDX13102: Exception thrown while reading 'System.String' for Saml2SecurityToken. Inner exception: System.ArgumentException.

Penjelasan: Error ini menunjukkan nilai yang tidak valid untuk saml:AuthnContextDeclRef dalam respons SAML.

Perbaiki: Dekode dan periksa Respons SAML. Jika IdP mengirim AuthnContextDeclRef yang tidak valid, hapus atau beralihlah ke saml:AuthnContextClassRef yang didukung (misalnya, urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport).

System.ArgumentException: 'System.String' harus berupa URI absolut

Pesan: /ds:Signature>saml:Subject<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" System.ArgumentException: IDX13300: 'System.String' must be an absolute URI, was: 'System.Uri"></saml:NameID>

Penjelasan: NameID Format harus berupa URI (URN) absolut yang valid dan didukung oleh SP, dan nilai <saml:NameID> harus ada.

Perbaikan: Tetapkan parameter DefaultNameIDFormat dalam konfigurasi SAML Anda ke salah satu opsi berikut:

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (paling umum)
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient

Atribut pengguna tidak ditemukan dan kolom `LoginIdentifier` wajib diisi

Pesan: logs Server error Login error for user _yyyyyyyyyyyyyyyyyyyyyyy. User attributes were not found for creating new followed by Error: register : The LoginIdentifier field is required.

Penjelasan: Dengan pengadaan Just-In-Time (JIT) yang diaktifkan, SP akan mencari pengguna menggunakan NameID (atau atribut yang dipetakan). Nilai yang masuk tidak cocok dengan ID login yang ada.

Perbaikan: IdP harus dikonfigurasi untuk mengirim nilai yang cocok dengan kolom ID Login di pengelolaan pengguna (Setelan > Pengelolaan Pengguna). Nilai ini dapat berupa alamat email pengguna atau ID unik lainnya.

Jenis pengguna tidak cocok

Pesan: Login error for user user@user.com. User type (Internal) does not match to this type of authentication (External).

Penjelasan: Akun dengan ID Login yang sama ada sebagai pengguna Internal, tetapi autentikasi SAML memerlukan pengguna Eksternal.

Perbaikan: Ubah jenis pengguna yang sudah ada dengan nama pengguna yang bertentangan menjadi Eksternal agar sesuai dengan metode autentikasi SAML.

Pengalihan balik

Jika instance Anda dikonfigurasi untuk pengalihan otomatis ke halaman login IdP, dan Anda mengalami loop pengalihan berkelanjutan, Anda dapat menonaktifkan pengalihan otomatis untuk sementara dengan menambahkan teks berikut ke nama host instance Anda:

/#/login?autoExternalLogin=false

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.