פתרון בעיות באיחוד שירותי אימות הזהויות של כוח העבודה

בדף הזה מוסבר איך לפתור בעיות נפוצות באיחוד שירותי אימות הזהות של כוח עבודה.

בדיקת התשובה שחוזרת מה-IdP

בקטע הזה מוסבר איך לבדוק את התשובה מספק הזהויות (IdP) כדי לפתור את הבעיות שמפורטות בהמשך.

כניסה באמצעות דפדפן

כדי לבדוק את התשובה שחוזרת מה-IdP, יוצרים קובץ HAR באמצעות כלי לבחירתכם. לדוגמה, אפשר להשתמש ב-HAR Analyzer מארגז הכלים של Google Admin, שמכיל הוראות ליצירת קובץ HAR ואת הכלים הדרושים כדי להעלות אותו ולנתח אותו.

SAML

כדי לבדוק את התשובה שחוזרת מה-IdP של SAML:

  1. מאתרים בקובץ ה-HAR את הערך של הפרמטר SAMLResponse של הבקשה, שמתועד בכתובת ה-URL שמכילה את הנתיב /signin-callback.
  2. מפענחים אותו באמצעות כלי לבחירתכם. לדוגמה, תוכלו להשתמש בכלי Encode/Decode מארגז הכלים של Google Admin.

OIDC

כדי לבדוק את התשובה שחוזרת מה-IdP של OIDC, פועלים לפי השלבים הבאים. הגישה הזו לא פועלת עם זרימת קוד.

  1. מאתרים בקובץ ה-HAR את הערך של הפרמטר id_token של הבקשה, שמתועד בכתובת ה-URL שמכילה את הנתיב /signin-callback.
  2. מפענחים אותו באמצעות כלי לניפוי באגים של JWT לבחירתכם.

‫CLI של gcloud

כדי לבדוק את התשובה שחוזרת מה-IdP של ה-CLI של gcloud, מעתיקים את תוכן הקובץ שהעברתם לפקודה gcloud iam workforce-pools create-cred-config בדגל --credential-source-file ואז מבצעים את השלבים הבאים:

SAML

מפענחים התשובה שחוזרת מה-IdP של SAML באמצעות כלי לבחירתכם. לדוגמה, תוכלו להשתמש בכלי Encode/Decode מארגז הכלים של Google Admin.

OIDC

מפענחים את התשובה שחוזרת מה-IdP של OIDC באמצעות כלי לניפוי באגים של JWT לבחירתכם.

בדיקת היומנים

כדי לקבוע אם Google Cloud מתקשר עם IdP שלכם ולבדוק את פרטי העסקה, אתם יכולים לבדוק את היומנים של Cloud Audit Logs.

דוגמאות ליומנים מופיעות במאמר דוגמאות ליומני ביקורת.

שגיאות בניהול של מאגר כוח עבודה והספקים שלו

בקטע הזה מפורטות הצעות לתיקון שגיאות נפוצות שעשויות לקרות כשאתם מנהלים מאגרים וספקים.

שגיאות כלליות במיפוי מאפיינים

כדי לפתור בעיות במיפוי מאפיינים של ספק מאגר זהויות של כוח עבודה:

  • בודקים את המאפיינים, שנקראים גם הצהרות, בהגדרות של ה-IdP. בודקים איך מיפויי המאפיינים ממירים מאפייני IdP למאפייני Google Cloud ובודקים איך התנאים מעריכים את המאפיינים האלה כדי לאפשר או לחסום גישה במסוף Google Cloud .

    1. חשוב לוודא שהקצו לכם את התפקיד IAM Workforce Pool Editor (roles/iam.workforcePoolEditor).
    2. כדי להפעיל את תהליך הכניסה מבוסס-הדפדפן לאיחוד שירותי אימות הזהות של כוח עבודה, מוסיפים את https://auth.cloud.google/signin-callback/locations/global/workforcePools/POOL_ID/providers/PROVIDER_ID לרשימת ה-URI להפניה אוטומטית המותרים ב-IdP.

    3. במסוף Google Cloud , עוברים אל Workforce Identity Pools.

      כניסה לדף Workforce Identity Pools
    4. ברשימת המאגרים, לוחצים על שם המאגר שרוצים לאמת.
    5. בדף פרטי מאגר כוח העבודה, לוחצים על השם של ספק הזהויות שרוצים לאמת.
    6. בדף פרטי הספק, לוחצים על ניפוי באגים של טוקן IdP.
    7. בתיבת הדו-שיח Sign in (כניסה), נכנסים ל-IdP בתור חשבון למטרות בדיקה.

    בדף Validate your provider attributes (אימות המאפיינים של הספק) מוצגים המאפיינים הממופים והתוצאה של תנאי המאפיין.

    בקטע Mapped attributes from your IdP token (מאפיינים ממופים מטוקן ספק הזהויות) מוצג אופן האכלוס של מאפייני Google, כמו google.subject, מטוקן ספק הזהויות על סמך הגדרת המיפוי. אם המיפוי שגוי, מופיע סמל שגיאה.

    בקטע Attribute condition (תנאי למאפיין) מוצגת התוצאה הבוליאנית של התנאי. אם התנאי מקבל את הערך false, הכניסה נחסמת.

    כדי לראות את אסימון הטענה המלא, לוחצים על הצגת האסימון המלא. כאן מוצג אובייקט ה-JSON הגולמי מ-IdP. כדי להפנות למאפיין ברמה העליונה במיפויים, משתמשים בפורמט assertion.PROPERTY_NAME.

    כדי לתקן שגיאות, אפשר לערוך את ההגדרות:

    1. בדף Validate your provider attributes (אימות מאפייני הספק), לוחצים על Edit (עריכה).
    2. מבצעים את השינויים הנדרשים.
    3. כדי להתחיל בדיקה חדשה ולראות את התוצאות המעודכנות, לוחצים על שמירה ואחזור מחדש של הטוקן.

  • בודקים את הטוקנים שנוצרו על ידי ספק הזהויות. כדי ללמוד איך ליצור טוקן מה-IdP, צריך לעיין במסמכי התיעוד של הספק.

  • בודקים את הרישום המפורט ביומן הביקורת של איחוד שירותי אימות הזהויות של כוח העבודה ביומני הביקורת של Cloud.

רישום מפורט ביומן הביקורת מתעד שגיאות אימות והרשאה לצד טענות שהתקבלו על ידי איחוד שירותי אימות הזהות של כוח עבודה.

אפשר להפעיל יומני ביקורת מפורטים כשיוצרים את הספק של מאגר הזהויות של כוח העבודה. כדי להפעיל יומני ביקורת מפורטים, מוסיפים את הדגל --detailed-audit-logging כשיוצרים את ספק הזהויות של כוח העבודה.

ההרשאה נדחתה

השגיאה הזו מתרחשת כשמשתמש שמנסה להגדיר איחוד שירותי אימות הזהות של כוח העבודה לא קיבל את התפקיד 'אדמין של מאגר זהויות של כוח עבודה' (roles/iam.workforcePoolAdmin) ב-IAM.

INVALID_ARGUMENT: Missing OIDC web single sign-on config

השגיאה הבאה מתקבלת כשיוצרים ספק של מאגר הזהויות של כוח עבודה של OIDC מבלי להגדיר את השדות web-sso-response-type ו-web-sso-assertion-claims-behavior:

ERROR: (gcloud.iam.workforce-pools.providers.create-oidc) INVALID_ARGUMENT: Missing OIDC web single sign-on config.

כדי לפתור את השגיאה, צריך לבצע את השלבים בקטע איך יוצרים ספק כדי להגדיר את השדות באופן תקין כשיוצרים את הספק של מאגר הזהויות של כוח עבודה ב-OIDC.

חריגה ממגבלת הקצב. צריך לנסות שוב מאוחר יותר

השגיאה הזו מתקבלת כשמגיעים למכסת המשאבים במאגר כוח העבודה. כדי לבקש הגדלה של המכסה, צריך לפנות לאיש הקשר שאחראי לחשבון שלכם. Google Cloud

שגיאות בכניסה לחשבון

בקטע הזה מפורטות הצעות לתיקון שגיאות נפוצות שעשויות להתרחש כשמשתמש של איחוד שירותי אימות הזהויות של כוח עבודה נכנס לחשבון.

שגיאות נפוצות בכניסה לחשבון

השגיאה: The given credential is rejected by the attribute condition

השגיאה הזו מתקבלת כשתנאי המאפיין שצוין בספק של מאגר הזהויות של כוח עבודה לא מתקיים.

לדוגמה, שימו לב לתנאי המאפיין הבא:

SAML

'gcp-users' in assertion.attributes.groups

OIDC

'gcp-users' in assertion.groups

במקרה הזה, השגיאה תופיע אם רשימת הקבוצות שספק הזהויות (IdP) שלכם שלח במאפיין groups לא מכילה את הערך gcp-users.

כדי לפתור את השגיאה, מבצעים את השלבים הבאים:

  1. מתארים את הספק שדרכו בוצעה הכניסה ובודקים שהמאפיין attributeCondition מכיל ערך תקין. מידע על הפעולות שאפשר לבצע על תנאים, זמין במאמר הגדרת שפה.

  2. פועלים לפי השלבים המפורטים במאמר איך בודקים את התשובה שחוזרת מה-IdP כדי לראות את המאפיינים שחוזרים מה-IdP ולוודא שהפורמט של התנאי של המאפיין תקין ומדויק.

  3. נכנסים למסוף Admin ב-IdP ובודקים אם מאפייני ה-IdP שצוינו בתנאי המאפיין מוגדרים בצורה נכונה. אם יש צורך, כדאי להיעזר במסמכי התיעוד של הספק.

השגיאה: The mapped attribute must be of type STRING

הודעת השגיאה הזו מתקבלת לספק של מאגר הזהויות של כוח עבודה ב-SAML במקרה שהמאפיין שצוין בהודעת השגיאה אמור להכיל ערך של מחרוזת יחידה, אבל הוא ממופה למאפיין מסוג רשימה במיפוי המאפיינים

לדוגמה, אם יש לכם ספק של מאגר זהויות של כוח עבודה ב-SAML עם מיפוי המאפיינים הבא: attribute.role=assertion.attributes.userRole. בטענת הנכוֹנוּת (assertion) של SAML, לכל Attribute יכולים להופיע כמה תגי AttributeValue כמו בדוגמה הבאה. במקרה כזה, כל המאפיינים של SAML נחשבים לרשימות, כך שהערך של המאפיין assertion.attributes.userRole נחשב לרשימה.

<saml:Attribute Name="userRole">
    <saml:AttributeValue>
      security-admin
    </saml:AttributeValue>
    <saml:AttributeValue>
      user
    </saml:AttributeValue>
</saml:Attribute>

בדוגמה הזאת, יכול להיות שתתקבל השגיאה הבאה:

The mapped attribute 'attribute.role' must be of type STRING

כדי לפתור את השגיאה, מבצעים את השלבים הבאים:

  1. מתארים את הספק שדרכו בוצעה הכניסה ומציינים את מאפיין ה-IdP שמוגדר במיפוי attributeMapping. בודקים את המאפיין אל מול המאפיין שמוצג בהודעת השגיאה. בדוגמה שלמעלה, מאפיין ה-IdP שנקרא userRole ממופה למאפיין role, והמאפיין role הוא זה שמופיע בדוגמה של השגיאה.

  2. כדי לעדכן את מיפוי המאפיינים:

    • אם השגיאה נגרמת בגלל מאפיין שמכיל ערכים של רשימה, צריך למצוא מאפיין חלופי ויציב שיכול להכיל ערך של מחרוזת. לאחר מכן, מכניסים את המאפיין הזה למיפוי המאפיינים על ידי הפנייה לפריט הראשון ברשימה. למשל, בדוגמה שלמעלה, אם בחרתם את המאפיין myRole כמאפיין החלופי שמכיל ערך בודד ב-IdP, כך ייראה מיפוי המאפיינים:

      attribute.role=assertion.attributes.myRole[0]

    • לחלופין, אם אתם יודעים שהמאפיין מכיל ערך יחיד, מפנים במיפוי המאפיינים את הפריט הראשון ברשימה. למשל, בדוגמה שלמעלה, אם המאפיין userRole מכיל רק תפקיד אחד, תוכלו להשתמש במיפוי הבא:

      attribute.role=assertion.attributes.userRole[0]

    • במאמר הגדרת שפה תוכלו לקרוא איך לחלץ מזהה יציב בעל ערך יחיד מהרשימה כדי לעדכן את מיפוי המאפיינים בהתאם.

בקטע בדיקת התשובה שחוזרת מה-IdP תוכלו לראות פרטים לגבי התשובה שחוזרת מה-IdP.

השגיאה: Could not obtain a value for google.subject from the given credential

השגיאה הזו מתקבלת כשאי אפשר למפות את ההצהרה הנדרשת google.subject באמצעות מיפוי המאפיינים שהגדרתם בהגדרות של הספק של מאגר הזהויות של כוח עבודה.

כדי לפתור את השגיאה, מבצעים את השלבים הבאים:

  1. מתארים את הספק ובודקים את המיפוי attributeMapping. מאתרים את המיפוי שהגדרתם ל-google.subject. אם המיפוי שגוי, עליכם לעדכן את ההגדרות של הספק של מאגר הזהויות של כוח עבודה.

  2. בקטע בדיקת התשובה שחוזרת מה-IdP תוכלו לראות פרטים לגבי התשובה שחוזרת מה-IdP. בתשובה שחוזרת מה-IdP, בודקים את הערך של המאפיין שממופה ל-google.subject במיפוי המאפיינים.

    אם הערך ריק או שגוי, מתחברים למסוף Admin של הספק ובודקים את הגדרת המאפיינים. לכל מאפיין, בודקים אם למשתמש הרלוונטי יש את הנתונים התואמים ב-IdP. מעדכנים ב-IdP את ההגדרות של המאפיינים או את פרטי המשתמש בהתאמה.

  3. מנסים להיכנס שוב.

הגודל של מאפיינים ממופים חורג מהמגבלה

השגיאה הבאה מתרחשת כשמשתמש מאוחד מנסה להיכנס:

The size of the entire mapped attributes exceeds the 16 KB limit.

כדי לפתור את הבעיה, צריך לבקש מהאדמין של ה-IdP להקטין את מספר המאפיינים שה-IdP שולח. ה-IdP צריך רק להפיק מאפיינים שנדרשים כדי לאחד משתמשים עם Google Cloud. מידע נוסף על מגבלות של מיפוי מאפיינים זמין במאמר מיפוי מאפיינים.

לדוגמה, אם ספק הזהויות (IdP) שלכם פולט מספר גדול של google.groups שהם מאפיינים ממופים בספק של מאגר הזהויות של כוח עבודה, ניסיון כניסה עלול להיכשל. צריך לבקש מהאדמין להגביל את מספר הקבוצות שספק הזהויות (IdP) שולח.

מספר הקבוצות חורג מהמגבלה

השגיאה הבאה מתרחשת כשמשתמש מאוחד מנסה להיכנס:

The current count of GROUPS_COUNT mapped attribute google.groups exceeds the GROUPS_COUNT_LIMIT count limit. Either modify your attribute mapping or the incoming assertion to produce a mapped attribute that has fewer than GROUPS_COUNT_LIMIT groups.

השגיאה הזו כוללת את הערכים הבאים:

  • GROUPS_COUNT: מספר הקבוצות שה-IdP מפיק

  • GROUPS_COUNT_LIMIT: Google Cloud's count limit for groups

השגיאה הזו מתרחשת כשמספר הקבוצות שספק הזהויות (IdP) שולח חורג מהמגבלה שלGoogle Cloud. קבוצות ממופות ל- Google Cloud באמצעות המאפיין google.groups.

כדי לפתור את הבעיה, צריך לבקש מהאדמין לצמצם את מספר הקבוצות שספק הזהויות (IdP) שולח. ספק הזהויות צריך רק להנפיק קבוצות שמשמשות לאיחוד משתמשים אל Google Cloud. מידע נוסף על מגבלות שקשורות לקבוצות זמין במאמר בנושא מיפוי מאפיינים.

לא נמצא דייר SCIM

השגיאה הזו מתקבלת כשמשתמש מנסה להיכנס באמצעות ספק של מאגר זהויות של כוח עבודה שמוגדר לשימוש ב-SCIM, אבל לא מוגדר דייר SCIM עבור הספק הזה.

במצב כזה, המשתמשים מקבלים את השגיאה הבאה כשהם מנסים להיכנס:

There was an issue signing in with your identity provider.

כדי לפתור את השגיאה, מבצעים את הפעולות הבאות:

  1. הגדרת דייר וטוקן של SCIM ב- Google Cloud
  2. מקשרים את הספק לדייר SCIM.

השגיאה: ‎400. That's an error

השגיאה הזו מתקבלת כשהבקשה לא התקבלה כמצופה או שהפורמט שלה היה שגוי.

כדי לפתור את השגיאה, מבצעים את השלבים הבאים:

  1. פועלים לפי השלבים המפורטים בקטע הדרכת המשתמשים על דרכי הכניסה כדי לוודא שמנסים להיכנס בצורה הנכונה.

  2. משווים בין ההגדרות בספק הזהויות של כוח עבודה לבין ההגדרות ב-IdP.

שגיאות בכניסה שקשורות למאפיינים נוספים ולמאפיינים מורחבים

בקטע הזה מפורטות הצעות לתיקון שגיאות שמתרחשות כשמשתמשים במאפיינים נוספים או במאפיינים מורחבים.

הכניסה נכשלת כשמוגדרים מאפיינים נוספים או מורחבים

אם הגדרתם מאפיינים נוספים או מאפיינים מורחבים, כל בעיה בהגדרה – כמו מזהה לקוח שגוי, סוד לקוח שגוי או URI של מנפיק שגוי – תגרום לניסיון הכניסה להיכשל.

כדי לפתור את השגיאה, מבצעים את השלבים הבאים:

  1. מתארים את הספק ומוודאים שמזהה הלקוח ו-URI המנפיק נכונים.
  2. מוודאים שהסוד של הלקוח תקין ושהתוקף שלו לא פג.
  3. בספק ה-IdP, מוודאים שלאפליקציה יש את ההרשאות הנדרשות.

המערכת מתעלמת מקבוצות מטענת נכונות (assertion) של SAML או OIDC

כשמגדירים מאפיינים נוספים או מאפיינים מורחבים, איחוד שירותי אימות הזהות של כוח העבודה מתעלם מכל פרטי קבוצה שמסופקים ישירות בטענות הנכוֹנוּת של SAML או OIDC. במקום זאת, הוא משתמש רק בקבוצות שאוחזרו באמצעות הערוץ האחורי (לדוגמה, באמצעות Microsoft Graph API).

אם המשתמשים לא רואים את הקבוצות הצפויות, צריך לוודא שהקבוצות מאוחזרות בצורה נכונה באמצעות הערוץ האחורי, ושהמסנני המאפיינים מוגדרים בצורה נכונה.

שגיאות OIDC בכניסה

בקטע הזה מפורטות הצעות לתיקון שגיאות ספציפיות ל-OIDC שעשויות להתרחש כשמשתמש של איחוד שירותי אימות הזהויות של כוח עבודה נכנס לחשבון.

שגיאה בחיבור למנפיק פרטי הכניסה

השגיאה הזו מתקבלת כשספק של מאגר זהויות של כוח עבודה ב-OIDC לא יכול לגשת למסמך הגילוי של OIDC או למזהה ה-URI של מפתחות ה-JWK.

כדי לפתור את השגיאה, מבצעים את השלבים הבאים:

  1. מתארים את הספק ובודקים את הערך של issuerUri. מצרפים את המחרוזת /.well-known/openid-configuration ל-URI של המנפיק כדי ליצור את כתובת ה-URL של מסמך הגילוי. לדוגמה, אם הערך של issuerUri הוא https://example.com, כתובת ה-URL של מסמך הגילוי תהיה https://example.com/.well-known/openid-configuration.

  2. בחלון גלישה פרטית, פותחים את כתובת ה-URL של מסמך הגילוי.

    1. אם אתם לא מצליחים להגיע לכתובת ה-URL או שהדפדפן מציג שגיאה מסוג 404, צריך לעיין במסמכי התיעוד של הספק כדי לזהות את ה-URI הנכון של המנפיק. אם יש צורך, מעדכנים את הערך של issuerUri בספק של מאגר הזהויות של כוח העבודה.

      אם ה-IdP שלכם פועל באופן מקומי, צריך לעיין במסמכי התיעוד של הספק כדי להקצות לו גישה לאינטרנט.

    2. אם כתובת ה-URL נפתחת כראוי, בודקים את התנאים הבאים:

      1. מוודאים שכתובת ה-URL לא מבצעת יותר מדי הפניות אוטומטיות לפני הצגת מסמך הגילוי. אם כן, עליכם להתייעץ עם האדמין של ה-IdP שלכם כדי לפתור את הבעיה.
      2. בודקים את זמני התגובה של ה-IdP. במקרה הצורך כדאי להתייעץ עם האדמין של ה-IdP כדי לקצר את זמן האחזור.
      3. מוודאים שמסמך הגילוי שנפתח הוא בפורמט JSON.

      4. מאתרים את השדה jwks_uri בקובץ ה-JSON.

        1. מוודאים שגם כתובת ה-URL המשויכת נפתחת.
        2. מוודאים שכתובת ה-URL עומדת בתנאים שמתוארים למעלה במדריך הזה.

    3. מנסים להיכנס שוב.

שגיאות SAML בכניסה

בקטע הזה מפורטות הצעות לתיקון שגיאות ספציפיות ל-SAML שעשויות להתרחש כשמשתמש של איחוד שירותי אימות הזהויות של כוח עבודה נכנס לחשבון.

השגיאה: Failed to verify the signature in SAMLResponse

הודעת השגיאה הזו מתקבלת בספק של מאגר זהויות של כוח עבודה ב-SAML במקרה שאי אפשר לאמת את החתימה בתשובה שחוזרת מה-IdP באמצעות אישורי X.509 שסופקו ב-XML של המטא-נתונים של ה-IdP, שהגדרתם בספק של מאגר הזהויות של כוח עבודה. סיבה נפוצה לשגיאה הזאת יכולה להיות שאישור האימות ב-IdP הוחלף, אבל לא עדכנתם את קובץ ה-XML של המטא-נתונים של ה-IdP בהגדרות של הספק של מאגר הזהויות של כוח עבודה.

כדי לפתור את השגיאה, מבצעים את השלבים הבאים:

  1. אופציונלי: פועלים לפי השלבים שמפורטים בקטע בדיקת התשובה שחוזרת מה-IdP כדי לאתר בתשובה שחוזרת מה-IdP את המאפיין X509Certificate. מתארים את הספק שדרכו נכנסתם לחשבון, ובודקים את ערך שדה האישור X509Certificate שמופיע בערך שמועבר ב-idpMetadataXml כפי שמוגדר בספק של מאגר הזהויות של כוח עבודה. משווים בין האישור הזה לבין האישור שמופיע בתשובה שחוזרת מה-IdP. האישורים צריכים להיות תואמים.

  2. מתחברים למסוף Admin של ה-IdP ומורידים את ה-XML העדכני של המטא-נתונים.

  3. מעדכנים את ה-XML של המטא-נתונים של ה-IdP שהורדתם בהגדרות של הספק של מאגר הזהויות של כוח עבודה.

  4. מנסים להיכנס שוב.

השגיאה: Recipient in SAML assertion is not set to the correct ACS URL

הודעת השגיאה הזו מתקבלת בספק של מאגר הזהויות של כוח עבודה ב-SAML כשהתשובה שחוזרת מה-IdP מכילה ערך שגוי בשדה Recipient לתג SubjectConfirmationData.

כדי לפתור את השגיאה הזו, מעדכנים את השדה Recipient URL או Redirect URL או את השדה המקביל בהגדרות של ה-IdP, כך שישתמש בכתובת ה-URL להפניה אוטומטית שמתוארת במאמר הגדרת כתובות URL להפניה אוטומטית ב-IdP, ומנסים להיכנס שוב.

פועלים לפי השלבים שמפורטים בקטעבדיקת התשובה שחוזרת מה-IdP כדי לוודא שהשדה Recipient שחזר בתשובה של ה-IdP תקין.

לדוגמה, לספק של מאגר הזהויות של כוח עבודה locations/global/workforcePools/example-pool/providers/example-provider, השדה Recipient שמכיל את כתובת ה-URL להפניה אוטומטית מופיע בתשובה שחוזרת מה-IdP של SAML באופן הבא:

<SubjectConfirmationData Recipient="https://auth.cloud.google/signin-callback/locations/global/workforcePools/example-pool/providers/example-provider"

השגיאה: SAMLResponse destination does not match RP callback URL

הודעת השגיאה הזו מתקבלת בספק של מאגר הזהויות של כוח עבודה ב-SAML כשהתשובה שחוזרת מה-IdP מכילה ערך שגוי בשדה Destination לתג Response.

כדי לפתור את השגיאה הזו, מעדכנים את השדה Destination URL או Redirect URL או את השדה המקביל בהגדרות של ה-IdP, כך שישתמש בכתובת ה-URL להפניה אוטומטית שמתוארת במאמר הגדרת כתובות URL להפניה אוטומטית ב-IdP.

פועלים לפי השלבים שמפורטים בקטעבדיקת התשובה שחוזרת מה-IdP כדי לוודא שהשדה Destination שחזר בתשובה של ה-IdP תקין.

לדוגמה, לספק של מאגר הזהויות של כוח העבודה locations/global/workforcePools/example-pool/providers/example-provider, השדה Destination שמכיל את כתובת ה-URL להפניה אוטומטית מופיע בתשובה שחוזרת מה-IdP של SAML באופן הבא:

<Response Destination="https://auth.cloud.google/signin-callback/locations/global/workforcePools/example-pool/providers/example-provider"

השגיאה: Invalid assertion: missing or empty NameID

השגיאה הזו מתקבלת כשהשדה NameId חסר בתשובה שהתקבלה מה-IdP של SAML, או שהוא מכיל ערך ריק.

כדי לפתור את השגיאה הזו, תוכלו להיעזר במסמכי התיעוד של ה-IdP כדי להגדיר אותו כך שיעביר את המאפיין NameID, שהוא הנושא של טענת הנכוֹנוּת (assertion) של SAML (בדרך כלל זה המשתמש שאותו מאמתים).

פועלים לפי השלבים שמפורטים בקטעבדיקת התשובה שחוזרת מה-IdP כדי לבדוק את התשובה שחזרה מה-IdP ואת הערך במאפיין NameID.

השגיאה: All <AudienceRestriction>s should contain the SAML RP entity ID

השגיאה הזו מתקבלת כשבתשובה שחוזרת מה-IdP של SAML אין בתגי ה-AudienceRestriction הגדרה של התג Audience עם ערך שמייצג את מזהה הישות ב-SAML של ספק המאגר של כוח עבודה.

כדי לפתור את השגיאה, מבצעים את השלבים הבאים:

  1. תוכלו להיעזר במסמכי התיעוד של ה-IdP כדי להבין איך להגדיר אותו כך שישלח את הקהל בתגי ה-AudienceRestriction שנשלחים בתשובה של SAML. בדרך כלל מגדירים את הקהל על ידי הגדרת השדה Entity ID או Audience בהגדרות של ה-IdP. בקטע SAML במאמר איך יוצרים ספק של מאגר זהויות של כוח עבודה מוסבר מה הערך שצריך להגדיר בשדה SP Entity ID.

  2. לאחר שמעדכנים את ההגדרות ב-IdP, מנסים להיכנס שוב.

פועלים לפי השלבים שמפורטים בקטעבדיקת התשובה שחוזרת מה-IdP כדי לבדוק את התשובה שחזרה מה-IdP ואת הערכים של המאפיינים מסוג AudienceRestriction.