Resolva problemas de SAML no Google SecOps SOAR
Este documento explica como resolver problemas comuns que pode encontrar com a autenticação SAML na sua plataforma SOAR do Google Security Operations.
Esta secção indica como resolver problemas de erros de autenticação SAML com resoluções.
Aplicação não encontrada no diretório
Mensagem: AADSTS700016: Application with identifier 'https://yyy.yyyyyy.com/api/auth/saml/metadata' was not found in the directory 'yyy'.
Explicação: existe uma incompatibilidade entre a configuração no Azure AD (SAML básico) e o sistema.
Correção: no Azure AD, defina o Identificador (ID da entidade) para o ID da entidade do SP e certifique-se de que o URL de resposta (ACS) corresponde ao seu SP; confirme que está no inquilino correto e que os utilizadores estão atribuídos à app.
Valor inválido para saml:AuthnContextDeclRef
Mensagem: Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenReadException: IDX13102: Exception thrown while reading 'System.String' for Saml2SecurityToken. Inner exception: System.ArgumentException.
Explicação: este erro indica um valor inválido para saml:AuthnContextDeclRef na resposta SAML.
Resolução: descodifique e inspecione a resposta SAML. Se o IdP enviar um AuthnContextDeclRef inválido, remova-o ou mude para um saml:AuthnContextClassRef suportado (por exemplo, urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport).
System.ArgumentException: "System.String" tem de ser um URI absoluto
Mensagem: /ds:Signature>saml:Subject<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" System.ArgumentException: IDX13300: 'System.String' must be an absolute URI, was: 'System.Uri"></saml:NameID>
Explicação: o elemento NameID Format tem de ser um URI absoluto (URN) válido suportado pelo SP, e o valor <saml:NameID> tem de estar presente.
Correção: defina o parâmetro DefaultNameIDFormat na sua configuração SAML para uma das seguintes opções:
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress(mais comum)urn:oasis:names:tc:SAML:2.0:nameid-format:persistenturn:oasis:names:tc:SAML:2.0:nameid-format:transient
Atributos do utilizador não encontrados e o campo LoginIdentifier é obrigatório
Mensagem: logs Server error Login error for user _yyyyyyyyyyyyyyyyyyyyyyy. User attributes were not found for creating new followed by Error: register : The LoginIdentifier field is required.
Explicação: com o aprovisionamento just-in-time (JIT) ativado, o SP procura o utilizador através do NameID (ou de um atributo mapeado). O valor recebido não corresponde a nenhum ID de início de sessão existente.
Correção: o IdP tem de ser configurado para enviar um valor que corresponda ao campo ID de início de sessão na gestão de utilizadores (Definições > gestão de utilizadores). Este valor pode ser o endereço de email do utilizador ou outro ID único.
Falta de correspondência do tipo de utilizador
Mensagem: Login error for user user@user.com. User type (Internal) does not match to this type of authentication (External).
Explicação: existe uma conta com o mesmo ID de início de sessão como Interna, mas a autenticação SAML requer um utilizador Externo.
Correção: altere o tipo de utilizador do utilizador existente com o nome de utilizador em conflito para Externo de modo a corresponder ao método de autenticação SAML.
Ciclo de redirecionamento
Se a sua instância estiver configurada para o redirecionamento automático para a página de início de sessão do IdP e encontrar um ciclo de redirecionamento contínuo, pode desativar temporariamente o redirecionamento automático anexando o seguinte texto ao nome do anfitrião da sua instância:
/#/login?autoExternalLogin=false
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.