Questa pagina è stata tradotta dall'API Cloud Translation.

Risolvere i problemi SAML in Google SecOps SOAR

Supportato in:

SOAR

Questo documento spiega come risolvere i problemi comuni che potresti riscontrare con l'autenticazione SAML nella piattaforma SOAR di Google Security Operations.

Questa sezione elenca come risolvere i problemi relativi agli errori di autenticazione SAML con le relative soluzioni.

Applicazione non trovata nella directory

Messaggio: AADSTS700016: Application with identifier 'https://yyy.yyyyyy.com/api/auth/saml/metadata' was not found in the directory 'yyy'.

Spiegazione: la configurazione in Azure AD (SAML di base) non corrisponde a quella del sistema.

Correzione: in Azure AD, imposta Identifier (Entity ID) sull'ID entità del fornitore di servizi e assicurati che l'URL di risposta (ACS) corrisponda al tuo SP; verifica di trovarti nel tenant corretto e che gli utenti siano assegnati all'app.

Valore non valido per saml:AuthnContextDeclRef

Messaggio: Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenReadException: IDX13102: Exception thrown while reading 'System.String' for Saml2SecurityToken. Inner exception: System.ArgumentException.

Spiegazione: questo errore indica un valore non valido per saml:AuthnContextDeclRef nella risposta SAML.

Correzione: decodifica e ispeziona la risposta SAML. Se il provider di identità invia un AuthnContextDeclRef non valido, rimuovilo o passa a un saml:AuthnContextClassRef supportato (ad esempio, urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport).

System.ArgumentException: "System.String" deve essere un URI assoluto

Messaggio: /ds:Signature>saml:Subject<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" System.ArgumentException: IDX13300: 'System.String' must be an absolute URI, was: 'System.Uri"></saml:NameID>

Spiegazione: NameID Format deve essere un URI (URN) assoluto valido supportato dal SP e il valore <saml:NameID> deve essere presente.

Correzione: imposta il parametro DefaultNameIDFormat nella configurazione SAML su una delle seguenti opzioni:

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (più comune)
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient

Attributi utente non trovati e campo `LoginIdentifier` obbligatorio

Messaggio: logs Server error Login error for user _yyyyyyyyyyyyyyyyyyyyyyy. User attributes were not found for creating new followed by Error: register : The LoginIdentifier field is required.

Spiegazione: con il provisioning Just-In-Time (JIT) attivato, il SP provider cerca l'utente utilizzando NameID (o un attributo mappato). Il valore in entrata non corrisponde a nessun ID di accesso esistente.

Correzione: l'IdP deve essere configurato per inviare un valore che corrisponda al campo ID accesso nella gestione utenti (Impostazioni > Gestione utenti). Questo valore potrebbe essere l'indirizzo email dell'utente o un altro ID univoco.

Mancata corrispondenza del tipo di utente

Messaggio: Login error for user user@user.com. User type (Internal) does not match to this type of authentication (External).

Spiegazione: esiste un account con lo stesso ID accesso come interno, ma l'autenticazione SAML richiede un utente esterno.

Correzione: modifica il tipo di utente dell'utente esistente con il nome utente in conflitto in Esterno in modo che corrisponda al metodo di autenticazione SAML.

Loop di reindirizzamento

Se la tua istanza è configurata per il reindirizzamento automatico alla pagina di accesso IdP e si verifica un ciclo di reindirizzamento continuo, puoi disattivare temporaneamente il reindirizzamento automatico aggiungendo il seguente testo al nome host dell'istanza:

/#/login?autoExternalLogin=false

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.