Resolver problemas do SAML no Google SecOps SOAR
Neste documento, explicamos como solucionar problemas comuns que podem ocorrer com a autenticação SAML na plataforma SOAR do Google Security Operations.
Esta seção lista como resolver erros de autenticação SAML com soluções.
O app não foi encontrado no diretório
Mensagem: AADSTS700016: Application with identifier 'https://yyy.yyyyyy.com/api/auth/saml/metadata' was not found in the directory 'yyy'.
Explicação: há uma incompatibilidade entre a configuração no Azure AD (SAML básico) e o sistema.
Correção: no Azure AD, defina Identificador (ID da entidade) como o ID da entidade do SP e verifique se o URL de resposta (ACS) corresponde ao SP. Confirme se você está no locatário correto e se os usuários estão atribuídos ao app.
Valor inválido para saml:AuthnContextDeclRef
Mensagem: Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenReadException: IDX13102: Exception thrown while reading 'System.String' for Saml2SecurityToken. Inner exception: System.ArgumentException.
Explicação: esse erro indica um valor inválido para saml:AuthnContextDeclRef na resposta SAML.
Correção: decodifique e inspecione a resposta SAML. Se o IdP enviar um AuthnContextDeclRef inválido, remova-o ou mude para um saml:AuthnContextClassRef compatível (por exemplo, urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport).
System.ArgumentException: "System.String" precisa ser um URI absoluto
Mensagem: /ds:Signature>saml:Subject<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" System.ArgumentException: IDX13300: 'System.String' must be an absolute URI, was: 'System.Uri"></saml:NameID>
Explicação: o NameID Format precisa ser um URI absoluto válido (URN) compatível com o SP, e o valor <saml:NameID> precisa estar presente.
Correção: defina o parâmetro DefaultNameIDFormat na sua configuração do SAML como uma das seguintes opções:
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress(mais comum)urn:oasis:names:tc:SAML:2.0:nameid-format:persistenturn:oasis:names:tc:SAML:2.0:nameid-format:transient
Atributos do usuário não encontrados e o campo LoginIdentifier é obrigatório
Mensagem: logs Server error Login error for user _yyyyyyyyyyyyyyyyyyyyyyy. User attributes were not found for creating new followed by Error: register : The LoginIdentifier field is required.
Explicação: com o provisionamento just-in-time (JIT) ativado, o SP procura o usuário usando o NameID (ou um atributo mapeado). O valor recebido não corresponde a nenhum ID de login existente.
Correção: o IdP precisa ser configurado para enviar um valor que corresponda ao campo ID de login no gerenciamento de usuários (Configurações > Gerenciamento de usuários). Esse valor pode ser o endereço de e-mail do usuário ou outro ID exclusivo.
Incompatibilidade de tipo de usuário
Mensagem: Login error for user user@user.com. User type (Internal) does not match to this type of authentication (External).
Explicação: uma conta com o mesmo ID de login existe como Interna, mas a autenticação SAML exige um usuário Externo.
Correção: mude o tipo do usuário atual com o nome de usuário conflitante para Externo para corresponder ao método de autenticação SAML.
Loop de redirecionamento
Se a instância estiver configurada para redirecionamento automático à página de login do IdP e você encontrar um loop de redirecionamento contínuo, desative temporariamente o redirecionamento automático anexando o seguinte texto ao nome do host da instância:
/#/login?autoExternalLogin=false
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.