Fehlerbehebung bei der Identitätsföderation von Arbeitslasten

Auf dieser Seite wird gezeigt, wie Sie häufige Probleme mit der Mitarbeiteridentitätsföderation beheben.

IdP-Antwort prüfen

In diesem Abschnitt wird beschrieben, wie Sie die Antwort Ihres Identitätsanbieters (IdP) prüfen, um die in diesem Dokument aufgeführten Probleme zu beheben.

Browserbasierte Anmeldung

Wenn Sie die von Ihrem IdP zurückgegebene Antwort prüfen möchten, generieren Sie mit einem Tool Ihrer Wahl eine HAR-Datei. Sie können beispielsweise das HAR-Analysetool in der Google Admin Toolboxverwenden. Dort finden Sie eine Anleitung zum Generieren einer HAR-Datei und die Tools zum Hochladen und Analysieren.

SAML

So prüfen Sie die SAML-IdP-Antwort:

  1. Suchen Sie in der HAR-Datei, die für die URL mit dem Pfad /signin-callback protokolliert wurde, nach dem Wert des Anforderungsparameters SAMLResponse.
  2. Decodieren Sie das Tool mit einem Tool Ihrer Wahl, z. B. Google Admin Toolbox Encode/Decode.

OIDC

So prüfen Sie die OIDC-IdP-Antwort: Diese Methode funktioniert nicht mit dem Code-Flow.

  1. Suchen Sie in der HAR-Datei, die für eine URL mit dem Pfad /signin-callback protokolliert wurde, nach dem Anforderungsparameter id_token.
  2. Decodieren Sie ihn mit einem JWT-Debugging-Tool Ihrer Wahl.

gcloud CLI

Wenn Sie die Antwort Ihres IdP bei Verwendung der gcloud CLI prüfen möchten, kopieren Sie den Inhalt der Datei, die Sie beim Ausführen des Befehls gcloud iam workforce-pools create-cred-config im Flag --credential-source-file übergeben haben, und führen Sie dann die folgenden Schritte aus:

SAML

Decodieren Sie die Antwort des SAML-IdP mit einem Tool Ihrer Wahl. Sie können beispielsweise Google Admin Toolbox Encode/Decode verwenden.

OIDC

Decodieren Sie die OIDC-IdP-Antwort mit einem JWT-Debugging-Tool Ihrer Wahl.

Logs prüfen

Um festzustellen, ob Google Cloud mit Ihrem IdP kommuniziert, und um Transaktionsinformationen zu prüfen, können Sie die Cloud-Audit-Logs einsehen.

Beispiele für Logs finden Sie unter Beispiel-Audit-Logs.

Fehler bei der Personalpool- und Anbieterverwaltung

Dieser Abschnitt enthält Vorschläge zur Behebung häufiger Fehler bei der Verwaltung von Pools und Anbietern.

Allgemeine Fehler bei der Attributzuordnung

So beheben Sie Probleme bei der Attributzuordnung für Anbieter von Workforce Identity-Pools:

  • Prüfen Sie die Attribute, auch als Anforderungen bezeichnet, in Ihrer IdP-Konfiguration. Prüfen Sie, wie Ihre Attributzuordnungen IdP-Attribute in Google Cloud Attribute umwandeln und wie Ihre Bedingungen diese Attribute auswerten, um den Zugriff in der Google Cloud Console zu erlauben oder zu verweigern.

    1. Sie benötigen die Rolle IAM Workforce Pool Editor (roles/iam.workforcePoolEditor).
    2. Wenn Sie den browserbasierten Anmelde-Flow für die Mitarbeiteridentitätsföderation aktivieren möchten, fügen Sie https://auth.cloud.google/signin-callback/locations/global/workforcePools/POOL_ID/providers/PROVIDER_ID der Liste der zulässigen Weiterleitungs-URLs Ihres IdP hinzu.

    3. Rufen Sie in der Google Cloud Console Workforce Identity-Pools auf.

      Zu Workforce Identity-Pools
    4. Klicken Sie in der Liste der Pools auf den Namen des Pools, den Sie prüfen möchten.
    5. Klicken Sie auf der Seite Details zum Workforce-Pool auf den Namen des IdP, den Sie prüfen möchten.
    6. Klicken Sie auf der Seite Anbieterdetails auf IdP-Token debuggen.
    7. Melden Sie sich im Dialogfeld Anmelden als Testnutzer bei Ihrem IdP an.

    Auf der Seite Anbieterattribute validieren werden die zugeordneten Attribute und das Ergebnis Ihrer Attributbedingung angezeigt.

    Im Abschnitt Zugeordnete Attribute aus Ihrem IdP-Token wird gezeigt, wie Google-Attribute wie google.subject basierend auf Ihrer Zuordnungskonfiguration aus dem Token Ihres IdP ausgefüllt werden. Wenn eine Zuordnung falsch ist, wird ein Fehlersymbol angezeigt.

    Im Abschnitt Attributbedingung wird das boolesche Ergebnis Ihrer Bedingung angezeigt. Wenn die Bedingung false ergibt, wird die Anmeldung blockiert.

    Wenn Sie das vollständige Assertion-Token ansehen möchten, klicken Sie auf Vollständiges Token ansehen. Hier wird das Roh-JSON-Objekt von Ihrem IdP angezeigt. Verweisen Sie in Ihren Zuordnungen mit dem Format assertion.PROPERTY_NAME auf eine Eigenschaft der obersten Ebene.

    Wenn Sie Fehler korrigieren möchten, können Sie die Konfiguration bearbeiten:

    1. Klicken Sie auf der Seite Anbieterattribute validieren auf Bearbeiten.
    2. Nehmen Sie die erforderlichen Änderungen vor.
    3. Wenn Sie einen neuen Test starten und die aktualisierten Ergebnisse sehen möchten, klicken Sie auf Speichern und Token neu abrufen.

  • Prüfen Sie die von Ihrem IdP generierten Token. Informationen zum Generieren eines Tokens von Ihrem IdP finden Sie in der Dokumentation Ihres IdP.

  • Prüfen Sie das detaillierte Audit-Logging der Mitarbeiteridentitätsföderation in den Cloud-Audit-Logs.

Beim detaillierten Audit-Logging werden Authentifizierungs- und Autorisierungsfehler zusammen mit den von der Mitarbeiteridentitätsföderation empfangenen Anforderungen protokolliert.

Sie können das detaillierte Audit-Logging aktivieren, wenn Sie Ihren Anbieter von Workforce Identity-Pools erstellen. Fügen Sie dazu beim Erstellen des Anbieters von Workforce Identity-Pools das Flag --detailed-audit-logging hinzu.

Berechtigung verweigert

Dieser Fehler tritt auf, wenn der Nutzer, der versucht, die Mitarbeiteridentitätsföderation zu konfigurieren, nicht die Rolle „IAM Workforce Pool Admin“ (roles/iam.workforcePoolAdmin) hat.

INVALID_ARGUMENT: Fehlende OIDC-Webkonfiguration für Einmalanmeldung (SSO)

Der folgende Fehler tritt auf, wenn die Felder web-sso-response-type und web-sso-assertion-claims-behavior beim Erstellen eines OIDC-Workforce Identity-Poolanbieters nicht festgelegt werden:

ERROR: (gcloud.iam.workforce-pools.providers.create-oidc) INVALID_ARGUMENT: Missing OIDC web single sign-on config.

Um diesen Fehler zu beheben, folgen Sie der Anleitung im Abschnitt Anbieter erstellen und legen Sie dabei die Felder beim Erstellen des OIDC-Workforce Identity-Poolanbieters korrekt fest.

Ratenbegrenzung überschritten. Versuchen Sie es später noch einmal.

Dieser Fehler tritt auf, wenn Sie Ihr Kontingentlimit für Workforce-Ressourcenpools erreicht haben. Wenden Sie sich an Ihren Google Cloud Kundenbetreuer, um eine Kontingenterhöhung zu beantragen.

Anmeldefehler

Dieser Abschnitt enthält Vorschläge zur Behebung häufiger Fehler, die bei der Anmeldung durch einen Nutzer einer Mitarbeiteridentitätsföderation auftreten können.

Häufige Anmeldefehler

Die angegebenen Anmeldedaten werden von der Attributbedingung abgelehnt

Dieser Fehler tritt auf, wenn die Attributbedingung, die für den Anbieter des Mitarbeiteridentitäts-Pools festgelegt ist, nicht erfüllt wurde.

Betrachten Sie beispielsweise die folgende Attributbedingung:

SAML

'gcp-users' in assertion.attributes.groups

OIDC

'gcp-users' in assertion.groups

In diesem Fall wird der Fehler angezeigt, wenn die Liste der Gruppen, die von Ihrem IdP im Attribut groups gesendet wurden, nicht gcp-users enthält.

Führen Sie folgende Schritte aus, um diesen Fehler zu beheben:

  1. Beschreiben Sie den Anbieter mit dem Sie sich angemeldet haben, und prüfen Sie, ob die attributeCondition korrekt ist. Informationen zu den in Bedingungen unterstützten Vorgängen finden Sie unter der Sprachdefinition.

  2. Führen Sie die Schritte unter IdP-Antwort prüfen aus, um die vom IdP zurückgegebenen Attribute zu sehen und zu bestätigen, ob die Attributbedingung korrekt formatiert und genau ist.

  3. Melden Sie sich in der Admin-Konsole Ihres IdP an und prüfen Sie, ob die in der Attributbedingung referenzierten IdP-Attribute korrekt eingerichtet sind. Lesen Sie bei Bedarf die Dokumentation Ihres IdP.

Das zugeordnete Attribut muss vom Typ STRING sein

Dieser Fehler tritt bei einem Anbieter von SAML-Workforce Identity-Pools auf, wenn das in der Fehlermeldung angegebene Attribut ein einwertiger STRING ist, aber einer Liste in der Attributzuordnung zugeordnet ist:

Betrachten Sie beispielsweise einen Anbieter von SAML-Workforce Identity-Pools, der die Attributzuordnung attribute.role=assertion.attributes.userRole hat. In einer SAML Assertion kann ein Attribute mehrere AttributeValue-Tags haben, wie in dem folgenden Beispiel gezeigt. Daher werden alle SAML-Attribute als Listen betrachtet, sodass assertion.attributes.userRole eine Liste ist.

<saml:Attribute Name="userRole">
    <saml:AttributeValue>
      security-admin
    </saml:AttributeValue>
    <saml:AttributeValue>
      user
    </saml:AttributeValue>
</saml:Attribute>

In diesem Beispiel wird möglicherweise der folgende Fehler angezeigt:

The mapped attribute 'attribute.role' must be of type STRING

Führen Sie folgende Schritte aus, um dieses Problem zu beheben:

  1. Beschreiben Sie den Anbieter , mit dem Sie sich angemeldet haben, und ermitteln Sie das IdP-Attribut, das in der attributeMapping festgelegt ist. Vergleichen Sie das Attribut mit dem in der Fehlermeldung angegebenen Attribut. Im vorherigen Beispiel ist ein IdP-Attribut namens userRole dem Attribut role zugeordnet und das Attribut role wird im obigen Fehlerbeispiel angezeigt.

  2. Folgen Sie der Anleitung unten, um die Attributzuordnung zu aktualisieren:

    • Wenn das Attribut, das den Fehler verursacht, eine Liste ist, suchen Sie nach einem alternativen, stabilen Attribut mit String-Wert. Aktualisieren Sie dann die Attributzuordnung, um es zu verwenden, indem Sie auf das erste Element verweisen. Wenn im vorherigen Beispiel myRole als alternatives einwertiges IdP-Attribut identifiziert wurde, sieht die Attributzuordnung so aus:

      attribute.role=assertion.attributes.myRole[0]

    • Wenn das Attribut bekanntermaßen einwertig ist, aktualisieren Sie die Attributzuordnung, um das erste Element aus der Liste zu verwenden. Wenn userRole im vorherigen Beispiel nur eine Rolle enthält, können Sie die folgende Zuordnung verwenden:

      attribute.role=assertion.attributes.userRole[0]

    • Informationen zum Ableiten eines einwertigen stabilen Bezeichners aus der Liste finden Sie unter Sprachdefinition. Aktualisieren Sie die Attributzuordnung entsprechend.

Im Abschnitt IdP-Antwort prüfen sehen Sie die vom IdP zurückgegebene Antwort.

Aus den angegebenen Anmeldedaten konnte kein Wert für google.subject abgerufen werden.

Dieser Fehler tritt auf, wenn die erforderliche Anforderung google.subject nicht mithilfe der Attributzuordnung zugeordnet werden konnte, die Sie in der Konfiguration des Anbieters des Workforce Identity-Pools festgelegt haben.

Führen Sie folgende Schritte aus, um diesen Fehler zu beheben:

  1. Beschreiben Sie den Anbieter und prüfen Sie attributeMapping. Ermitteln Sie die Zuordnung, die für google.subject konfiguriert ist. Wenn die Zuordnung nicht korrekt ist, aktualisieren Sie den Anbieter des Workforce Identity-Pools.

  2. Im Abschnitt IdP-Antwort prüfen sehen Sie die vom IdP zurückgegebene Antwort. Prüfen Sie den Wert des Attributs aus der IdP-Antwort, das in Ihren Attributzuordnungen google.subject zugeordnet ist.

    Wenn der Wert leer oder falsch ist, melden Sie sich in der Admin-Konsole Ihres IdP an und prüfen Sie die konfigurierten Attribute. Prüfen Sie, ob Ihr betroffener Nutzer entsprechende Daten in Ihrem IdP hat. Aktualisieren Sie die IdP-Konfiguration, um die Attribute oder Nutzerinformationen entsprechend zu korrigieren.

  3. Versuchen Sie es noch einmal.

Die Größe der zugeordneten Attribute überschreitet das Limit

Der folgende Fehler ist aufgetreten, als sich ein föderierter Nutzer anmelden wollte:

The size of the entire mapped attributes exceeds the 16 KB limit.

Bitten Sie Ihren IdP-Administrator, die Anzahl der von Ihrem IdP ausgegebenen Attribute zu reduzieren. Ihr IdP muss nur Attribute ausgeben, die für die Föderation von Nutzern mit erforderlich sind Google Cloud. Weitere Informationen zu den Limits für die Attributzuordnung finden Sie unter Attributzuordnungen.

Wenn Ihr IdP beispielsweise eine große Anzahl von google.groups ausgibt, die zugeordnete Attribute in Ihrem Anbieter von Workforce Identity-Pools sind, kann ein Anmeldeversuch fehlschlagen. Bitten Sie Ihren Administrator, die Anzahl der von Ihrem IdP ausgegebenen Gruppen zu begrenzen.

Die Anzahl der Gruppen überschreitet das Limit

Der folgende Fehler ist aufgetreten, als sich ein föderierter Nutzer anmelden wollte:

The current count of GROUPS_COUNT mapped attribute google.groups exceeds the GROUPS_COUNT_LIMIT count limit. Either modify your attribute mapping or the incoming assertion to produce a mapped attribute that has fewer than GROUPS_COUNT_LIMIT groups.

Dieser Fehler enthält die folgenden Werte:

  • GROUPS_COUNT: Anzahl der Gruppen, die vom IdP ausgegeben werden

  • GROUPS_COUNT_LIMIT:Limit für die Anzahl der Gruppen für Google Cloud

Dieser Fehler ist aufgetreten, weil die Anzahl der vom IdP ausgegebenen Gruppen das Limit von Google Cloud' überschreitet. Gruppen werden mit dem Attribut google.groups zugeordnet. Google Cloud

Bitten Sie Ihren Administrator, die Anzahl der von Ihrem IdP ausgegebenen Gruppen zu reduzieren. Ihr IdP muss nur Gruppen ausgeben, die für die Föderation von Nutzern mit Google Clouderforderlich sind. Weitere Informationen zu Limits für Gruppen in Attributzuordnungen.

SCIM-Mandant konnte nicht gefunden werden

Dieser Fehler tritt auf, wenn sich ein Nutzer mit einem Anbieter von Workforce Identity-Pools anmelden möchte, der für die Verwendung von SCIM konfiguriert ist, aber kein SCIM-Mandant für diesen Anbieter konfiguriert ist.

In diesem Fall wird Nutzern bei der Anmeldung der folgende Fehler angezeigt:

There was an issue signing in with your identity provider.

So beheben Sie diesen Fehler:

  1. Konfigurieren Sie einen SCIM-Mandanten und ein Token für Google Cloud.
  2. Verknüpfen Sie den Anbieter mit einem SCIM-Mandanten.

400. Dies ist ein Fehler

Dieser Fehler tritt auf, wenn die Anfrage nicht wie erwartet empfangen wurde oder fehlerhaft war.

Führen Sie folgende Schritte aus, um diesen Fehler zu beheben:

  1. Folgen Sie der Anleitung im Abschnitt Nutzer über die Anmeldung informieren , um zu prüfen, ob Sie die richtigen Schritte zur Anmeldung ausführen.

  2. Vergleichen Sie die Konfiguration Ihres Anbieters für Workforce Identity-Pools mit Ihrer IdP-Konfiguration.

Anmeldefehler bei zusätzlichen Attributen

Dieser Abschnitt enthält Vorschläge zur Behebung von Fehlern bei der Verwendung zusätzlicher Attribute.

Anmeldung schlägt fehl, wenn zusätzliche Attribute konfiguriert sind

Wenn Sie zusätzliche Attribute konfiguriert haben, führt jedes Konfigurationsproblem, z. B. eine falsche Client-ID, ein falscher Clientschlüssel oder ein falscher Aussteller-URI, dazu, dass der Anmeldeversuch fehlschlägt.

Führen Sie folgende Schritte aus, um diesen Fehler zu beheben:

  1. Beschreiben Sie den Anbieter und prüfen Sie, ob die Client-ID und der Aussteller-URI korrekt sind.
  2. Prüfen Sie, ob der Clientschlüssel gültig und nicht abgelaufen ist.
  3. Prüfen Sie in Ihrem IdP, ob die Anwendung die erforderlichen Berechtigungen hat.

Gruppen aus SAML- oder OIDC-Assertion werden ignoriert

Wenn zusätzliche Attribute konfiguriert sind, ignoriert die Mitarbeiteridentitätsföderation alle Gruppeninformationen, die direkt in den SAML- oder OIDC-Anforderungen angegeben werden. Stattdessen werden nur die Gruppen verwendet, die über den Backchannel abgerufen wurden (z. B. mit der Microsoft Graph API).

Wenn Ihre Nutzer die erwarteten Gruppen nicht sehen, prüfen Sie, ob die Gruppen korrekt über den Backchannel abgerufen werden und ob alle Attributfilter richtig konfiguriert sind.

OIDC-Anmeldefehler

Dieser Abschnitt enthält Vorschläge zur Behebung OIDC-spezifischer Fehler, die bei der Anmeldung durch einen Nutzer einer Mitarbeiteridentitätsföderation auftreten können.

Fehler beim Herstellen einer Verbindung zum Aussteller der angegebenen Anmeldedaten

Dieser Fehler tritt auf, wenn ein OIDC-Anbieter von Workforce Identity-Pools das OIDC-Discovery-Dokument oder den JWKS-URI nicht erreichen kann.

Führen Sie folgende Schritte aus, um diesen Fehler zu beheben:

  1. Beschreiben Sie den Anbieter und prüfen Sie den konfigurierten issuerUri. Erstellen Sie die Discovery-Dokument-URL, indem Sie /.well-known/openid-configuration an den Aussteller-URI anhängen. Wenn Ihr issuerUri beispielsweise https://example.com ist, lautet die Discovery Dokument-URL https://example.com/.well-known/openid-configuration.

  2. Öffnen Sie die Discovery-Dokument-URL in einem Inkognito-Browserfenster.

    1. Wenn sich die URL nicht öffnen lässt oder der Browser einen 404-Fehler anzeigt, lesen Sie in der Dokumentation Ihres IdP nach, um den richtigen Aussteller-URI zu ermitteln. Aktualisieren Sie bei Bedarf den issuerUri in Ihrem Anbieter von Workforce Identity-Pools.

      Wenn Ihr IdP lokal ausgeführt wird, lesen Sie in der Dokumentation Ihres IdP nach, wie Sie ihn für den Zugriff über das Internet bereitstellen.

    2. Wenn sich die URL öffnet, prüfen Sie die folgenden Bedingungen:

      1. Prüfen Sie, ob die URL nicht zu oft weitergeleitet wird, bevor das Discovery-Dokument bereitgestellt wird. Wenn dies der Fall ist, wenden Sie sich an den Administrator Ihres IdP, um das Problem zu beheben.
      2. Prüfen Sie die Antwortzeit des IdP. Wenden Sie sich an Ihren IdP-Administrator, um die Antwortlatenz zu reduzieren.
      3. Das geöffnete Discovery-Dokument sollte im JSON Format vorliegen.

      4. Suchen Sie im JSON nach einem Feld jwks_uri.

        1. Prüfen Sie, ob sich auch der zugehörige URL-Wert öffnen lässt.
        2. Prüfen Sie, ob die URL die Bedingungen erfüllt, die weiter oben in dieser Anleitung beschrieben sind.

    3. Versuchen Sie es noch einmal.

SAML-Anmeldefehler

Dieser Abschnitt enthält Vorschläge zur Behebung SAML-spezifischer Fehler, die bei der Anmeldung durch einen Nutzer einer Mitarbeiteridentitätsföderation auftreten können.

Signatur in SAMLResponse konnte nicht verifiziert werden

Dieser Fehler tritt bei einem Anbieter von SAML-Workforce Identity-Pools auf, wenn die Signatur in der Antwort des IdP nicht mit einem der X.509-Zertifikate verifiziert werden kann, die Sie in der XML-Datei der IdP-Metadaten angeben, welche Sie bei Ihrem Anbieter von Workforce Identity-Pools konfiguriert haben. Eine häufige Ursache für diesen Fehler ist, dass das Verifizierungszertifikat bei Ihrem IdP rotiert wurde, Sie aber die Konfiguration des Anbieters von Workforce Identity-Pools nicht mit der neuesten XML-Datei der IdP-Metadaten aktualisiert haben.

Führen Sie folgende Schritte aus, um diesen Fehler zu beheben:

  1. Optional: Folgen Sie der Anleitung unter IdP-Antwort prüfen um die vom IdP zurückgegebene Antwort zu sehen und das X509Certificate Feld darin zu suchen. Beschreiben Sie den Anbieter, mit dem Sie sich angemeldet haben, und prüfen Sie das Feld X509Certificate im Wert idpMetadataXml, der für den Anbieter von Workforce Identity-Pools festgelegt ist. Vergleichen Sie das Zertifikat mit dem in der von Ihrem IdP zurückgegebenen Antwort. Die Zertifikate müssen übereinstimmen.

  2. Melden Sie sich in der Admin-Konsole Ihres IdP an und laden Sie die neueste Metadaten-XML herunter.

  3. Aktualisieren Sie den Anbieter von Workforce Identity-Pools mit der heruntergeladenen IdP-Metadaten-XML.

  4. Versuchen Sie es noch einmal.

Empfänger in der SAML-Assertion ist nicht auf die richtige ACS-URL festgelegt

Dieser Fehler tritt bei einem Anbieter von SAML-Workforce Identity-Pools auf, wenn die IdP-Antwort einen falschen Wert für das Feld Recipient im Tag SubjectConfirmationData enthält.

Um diesen Fehler zu beheben, aktualisieren Sie das Recipient URL / Redirect URL oder das entsprechende Feld in der Konfiguration Ihres IdP, um die Weiterleitungs-URL zu verwenden, die unter Weiterleitungs-URLs in Ihrem IdP einrichten beschrieben wird, und versuchen Sie es noch einmal.

Folgen Sie der Anleitung unter IdP-Antwort prüfen, um die vom IdP zurückgegebene Antwort zu sehen und zu bestätigen, dass das Recipient Feld korrekt ist.

Für den Anbieter von Workforce Identity-Pools locations/global/workforcePools/example-pool/providers/example-provider wird beispielsweise der Recipient, der die Weiterleitungs-URL enthält, in der SAML-Antwort des IdP so angezeigt:

<SubjectConfirmationData Recipient="https://auth.cloud.google/signin-callback/locations/global/workforcePools/example-pool/providers/example-provider"

Das Ziel von SAMLResponse stimmt nicht mit der RP-Callback-URL überein

Dieser Fehler tritt bei einem Anbieter von SAML-Workforce Identity-Pools auf, wenn die IdP-Antwort einen falschen Wert für das Feld Destination im Tag Response enthält.

Aktualisieren Sie zur Behebung dieses Problems Destination URL / Redirect URL oder das äquivalent Feld in der Konfiguration Ihres IdP zur Verwendung der hier beschriebenen Weiterleitungs-URL in Weiterleitungs-URLs bei Ihrem IdP einrichten.

Folgen Sie der Anleitung unter IdP-Antwort prüfen, um die vom IdP zurückgegebene Antwort zu sehen und zu bestätigen, dass das Destination Feld korrekt ist.

Bei einem Anbieter von Workforce Identity-Pools locations/global/workforcePools/example-pool/providers/example-provider würde der Destination, der die Weiterleitungs-URL enthält, beispielsweise in der SAML-Antwort des IdP so angezeigt werden:

<Response Destination="https://auth.cloud.google/signin-callback/locations/global/workforcePools/example-pool/providers/example-provider"

Ungültige Assertion: NameID fehlt oder ist leer

Dieser Fehler tritt auf, wenn die von Ihrem IdP empfangene SAML-Antwort das Feld NameId nicht enthält oder einen leeren Wert hat.

Um diesen Fehler zu beheben, konfigurieren Sie Ihre IdP-Dokumentation so, dass sie NameID sendet, was das Thema einer SAML-Assertion ist, in der Regel der authentifizierte Nutzer.

Folgen Sie der Anleitung unter IdP-Antwort prüfen, um die vom IdP zurückgegebene Antwort und die NameID zu sehen.

Alle <AudienceRestriction>-Objekte sollten die SAML-RP-Entitäts-ID enthalten

Dieser Fehler tritt auf, wenn die AudienceRestriction-Tags in der SAML-Antwort von Ihrem IdP kein Audience-Tag mit einem Wert festlegen, der die Entitäts-ID des Anbieters von Workforce Identity-Pools darstellt.

Führen Sie folgende Schritte aus, um diesen Fehler zu beheben:

  1. Lesen Sie in der Dokumentation Ihres IdP nach, wie Sie die Zielgruppe in den AudienceRestriction-Tags konfigurieren, die in der SAML-Antwort gesendet werden. In der Regel wird die Zielgruppe konfiguriert, indem Sie in der IdP-Konfiguration das Feld Entity ID oder Audience einrichten. Weitere Informationen zu dem festzulegenden Wert SP Entity ID finden Sie im SAML-Abschnitt zum Erstellen eines Anbieters von Mitarbeiteridentitätsföderations-Pools.

  2. Versuchen Sie es nach der Aktualisierung Ihrer IdP-Konfiguration noch einmal.

Folgen Sie der Anleitung unter IdP-Antwort prüfen, um die vom IdP zurückgegebene Antwort und die darin festgelegten AudienceRestrictions zu sehen.