Google SecOps SOAR에서 SAML 문제 해결하기

다음에서 지원:

이 문서에서는 Google Security Operations SOAR 플랫폼에서 SAML 인증과 관련해 발생할 수 있는 일반적인 문제를 해결하는 방법을 설명합니다.

이 섹션에서는 SAML 인증 오류를 해결하는 방법을 설명합니다.

디렉터리에서 애플리케이션을 찾을 수 없음

메시지: AADSTS700016: Application with identifier 'https://yyy.yyyyyy.com/api/auth/saml/metadata' was not found in the directory 'yyy'.

설명: Azure AD (기본 SAML)의 구성과 시스템 간에 불일치가 있습니다.

해결: Azure AD에서 식별자 (엔티티 ID)를 SP의 엔티티 ID로 설정하고 응답 URL (ACS)이 SP와 일치하는지 확인합니다. 올바른 테넌트에 있으며 사용자가 앱에 할당되었는지 확인합니다.

saml:AuthnContextDeclRef 값이 잘못됨

메시지: Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenReadException: IDX13102: Exception thrown while reading 'System.String' for Saml2SecurityToken. Inner exception: System.ArgumentException.

설명: 이 오류는 SAML 응답의 saml:AuthnContextDeclRef 값이 유효하지 않음을 나타냅니다.

해결: SAML 응답을 디코딩하고 검사합니다. IdP가 잘못된 AuthnContextDeclRef를 전송하는 경우 이를 삭제하거나 지원되는 saml:AuthnContextClassRef (예: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport)로 전환합니다.

System.ArgumentException: 'System.String'은 절대 URI여야 합니다.

메시지: /ds:Signature>saml:Subject<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" System.ArgumentException: IDX13300: 'System.String' must be an absolute URI, was: 'System.Uri"></saml:NameID>

설명: NameID Format는 SP에서 지원하는 유효한 절대 URI (URN)여야 하며 <saml:NameID> 값이 있어야 합니다.

수정: SAML 구성에서 DefaultNameIDFormat 매개변수를 다음 옵션 중 하나로 설정합니다.

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (가장 일반적)
  • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

사용자 속성을 찾을 수 없으며 LoginIdentifier 필드가 필요함

메시지: logs Server error Login error for user _yyyyyyyyyyyyyyyyyyyyyyy. User attributes were not found for creating new followed by Error: register : The LoginIdentifier field is required.

설명: JIT 프로비저닝이 사용 설정된 경우 SP는 NameID(또는 매핑된 속성)를 사용하여 사용자를 조회합니다. 수신된 값이 기존 로그인 ID와 일치하지 않습니다.

수정: IdP는 사용자 관리 (설정 > 사용자 관리)의 로그인 ID 필드와 일치하는 값을 전송하도록 구성해야 합니다. 이 값은 사용자의 이메일 주소 또는 다른 고유 ID일 수 있습니다.

사용자 유형 불일치

메시지: Login error for user user@user.com. User type (Internal) does not match to this type of authentication (External).

설명: 동일한 로그인 ID가 있는 계정이 내부로 존재하지만 SAML 인증에는 외부 사용자가 필요합니다.

수정: 충돌하는 사용자 이름이 있는 기존 사용자의 사용자 유형을 SAML 인증 방법과 일치하도록 외부로 변경합니다.

리디렉션 순환 오류

인스턴스가 IdP 로그인 페이지로 자동 리디렉션되도록 구성되어 있고 연속 리디렉션 루프가 발생하는 경우 인스턴스 호스트 이름에 다음 텍스트를 추가하여 자동 리디렉션을 일시적으로 사용 중지할 수 있습니다.

/#/login?autoExternalLogin=false

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.