Auf dieser Seite wird gezeigt, wie Sie häufige Probleme mit der Mitarbeiteridentitätsföderation beheben.
IdP-Antwort prüfen
In diesem Abschnitt wird beschrieben, wie Sie die Antwort Ihres Identitätsanbieters (IdP) prüfen können, um Probleme in diesem Dokument zu beheben.
Browserbasierte Anmeldung
Generieren Sie eine HAR-Datei mit einem Tool Ihrer Wahl, um die vom IdP zurückgegebene Antwort zu prüfen. Sie können beispielsweise das HAR-Analysetool von Google Admin Toolbox verwenden, das Anleitungen zum Generieren einer HAR-Datei und die Tools zum Hochladen und Analysieren enthält.
SAML
Prüfen Sie die SAML-IdP-Antwort mit folgenden Schritten:
- Suchen Sie den Wert des Anfrageparameters
SAMLResponse
in der HAR-Datei, die für die URL mit dem Pfad/signin-callback
protokolliert wird. - Decodieren Sie das Tool mit einem Tool Ihrer Wahl, z. B. Google Admin Toolbox Encode/Decode.
OIDC
So prüfen Sie die Antwort des OIDC-IdP:
- Suchen Sie in der HAR-Datei nach dem Anfrageparameter
id_token
, der im Vergleich zu einer URL mit dem Pfad/signin-callback
protokolliert wird. - Decodieren Sie den Schlüssel mit einem JWT-Debugging-Tool Ihrer Wahl.
gcloud-CLI
Wenn Sie die Antwort Ihres IdP bei Verwendung der gcloud CLI prüfen möchten, kopieren Sie den Inhalt der Datei, die Sie beim Ausführen des Befehls gcloud iam workforce-pools create-cred-config
im Flag --credential-source-file
übergeben haben, und führen Sie dann die Schritte unten aus:
SAML
Decodieren Sie die Antwort des SAML-IdP mit einem Tool Ihrer Wahl. Sie können beispielsweise Google Admin Toolbox Encode/Decode verwenden.
OIDC
Decodieren Sie die OIDC-Antwort des IdP mit einem JWT-Debugging-Tool Ihrer Wahl.
Logs prüfen
Um festzustellen, ob Google Cloud mit Ihrem IdP kommuniziert, und um Transaktionsinformationen zu prüfen, können Sie die Cloud-Audit-Logs einsehen. Logbeispiele finden Sie unter Beispiel-Audit-Logs.
Fehler bei der Personalpool- und Anbieterverwaltung
Dieser Abschnitt enthält Vorschläge zur Behebung häufiger Fehler bei der Verwaltung von Pools und Anbietern.
Berechtigung verweigert
Dieser Fehler tritt auf, wenn der Nutzer, der versucht, eine Workforce Identity-Föderation zu konfigurieren, nicht die Rolle „IAM Workforce Pool Admin“ (roles/iam.workforcePoolAdmin
) hat.
INVALID_ARGUMENT: Fehlende OIDC-Webkonfiguration für Einmalanmeldung (SSO)
Der folgende Fehler tritt auf, wenn die Felder web-sso-response-type
und web-sso-assertion-claims-behavior
beim Erstellen eines OIDC-Workforce Identity-Poolanbieters nicht festgelegt werden:
ERROR: (gcloud.iam.workforce-pools.providers.create-oidc) INVALID_ARGUMENT: Missing OIDC web single sign-on config.
Um diesen Fehler zu beheben, folgen Sie der Anleitung im Abschnitt Anbieter erstellen und legen Sie dabei die Felder beim Erstellen des OIDC-Workforce Identity-Poolanbieters korrekt fest.
Ratenbegrenzung überschritten. Versuchen Sie es später noch einmal.
Dieser Fehler tritt auf, wenn Sie Ihr Kontingentlimit für Workforce-Ressourcenpools erreicht haben. Wenden Sie sich an Ihren Google Cloud-Kundenbetreuer, um eine Kontingenterhöhung anzufordern.
Anmeldefehler
Dieser Abschnitt enthält Vorschläge zur Behebung häufiger Fehler, die bei der Anmeldung durch einen Nutzer einer Mitarbeiteridentitätsföderation auftreten können.
Häufige Anmeldefehler
Die angegebenen Anmeldedaten werden durch die Attributbedingung abgelehnt
Dieser Fehler tritt auf, wenn die Attributbedingung, die für den Anbieter des Mitarbeiteridentitäts-Pools festgelegt ist, nicht erfüllt wurde.
Betrachten Sie beispielsweise die folgende Attributbedingung:
SAML
'gcp-users' in assertion.attributes.groups
OIDC
'gcp-users' in assertion.groups
In diesem Fall wird der Fehler angezeigt, wenn die Liste der Gruppen, die von Ihrem Identitätsanbieter (IdP) im Attribut groups
gesendet wurden, nicht gcp-users
enthält.
Führen Sie folgende Schritte aus, um diesen Fehler zu beheben:
Beschreiben Sie den Anbieter, der für die Anmeldung verwendet wurde, und prüfen Sie, ob
attributeCondition
korrekt ist. Informationen zu Vorgängen, die in Bedingungen unterstützt werden, finden Sie in der Sprachdefinition.Führen Sie die Schritte unter IdP-Antwort prüfen aus, um die vom IdP zurückgegebenen Attribute zu sehen und zu bestätigen, ob die Attributbedingung korrekt formatiert und genau ist.
Melden Sie sich in der Admin-Konsole Ihres IdP an und prüfen Sie, ob die IdP-Attribute, auf die in der Attributbedingung verwiesen wird, ordnungsgemäß eingerichtet sind. Weitere Informationen finden Sie in der Dokumentation Ihres IdP.
Das zugeordnete Attribut muss vom Typ STRING sein.
Dieser Fehler tritt bei einem Anbieter von SAML-Workforce Identity-Pools auf, wenn das in der Fehlermeldung angegebene Attribut ein einwertiger STRING ist, aber einer Liste in der Attributzuordnung zugeordnet ist:
Betrachten Sie beispielsweise einen Anbieter von SAML-Workforce Identity-Pools, der die Attributzuordnung attribute.role=assertion.attributes.userRole
hat. In einer SAML-Assertion kann ein Attribute
mehrere AttributeValue
-Tags haben, wie im folgenden Beispiel gezeigt. Daher werden alle SAML-Attribute als Listen betrachtet, sodass assertion.attributes.userRole
eine Liste ist.
<saml:Attribute Name="userRole">
<saml:AttributeValue>
security-admin
</saml:AttributeValue>
<saml:AttributeValue>
user
</saml:AttributeValue>
</saml:Attribute>
In diesem Beispiel wird möglicherweise der folgende Fehler angezeigt:
The mapped attribute 'attribute.role' must be of type STRING
Führen Sie folgende Schritte aus, um dieses Problem zu beheben:
Beschreiben Sie den Anbieter, der für die Anmeldung verwendet wurde, und identifizieren Sie das IdP-Attribut, das in
attributeMapping
festgelegt ist. Prüfen Sie das Attribut mit dem in der Fehlermeldung angezeigten Attribut. Im vorherigen Beispiel wird das IdP-AttributuserRole
dem Attributrole
zugeordnet und das Attributrole
wird im obigen Fehlerbeispiel angezeigt.Folgen Sie der Anleitung unten, um die Attributzuordnung zu aktualisieren:
Wenn das Attribut, das den Fehler verursacht, ein Listenwert ist, identifizieren Sie ein alternatives, stabiles Attribut mit Stringwerten. Aktualisieren Sie anschließend die Attributzuordnung so, dass sie verwendet wird, indem Sie auf das erste Element verweisen. Wenn im vorherigen Beispiel
myRole
als alternatives Einzelwert-IdP-Attribut identifiziert wurde, lautet die Attributzuordnung:attribute.role=assertion.attributes.myRole[0]
Wenn das Attribut bekanntermaßen einwertig ist, aktualisieren Sie die Attributzuordnung so, dass das erste Element aus der Liste verwendet wird. Wenn im vorherigen Beispiel
userRole
nur eine Rolle enthält, können Sie die folgende Zuordnung verwenden:attribute.role=assertion.attributes.userRole[0]
Informationen zum Ableiten eines einwertigen stabilen Bezeichners aus der Liste finden Sie unter Sprachdefinition. Aktualisieren Sie die Attributzuordnung entsprechend.
Lesen Sie den Abschnitt IdP-Antwort prüfen, um die Antwort zu sehen, die vom IdP zurückgegeben wird.
Aus den angegebenen Anmeldedaten konnte kein Wert für google.subject abgerufen werden.
Dieser Fehler tritt auf, wenn die erforderliche Anforderung google.subject
nicht mithilfe der Attributzuordnung zugeordnet werden konnte, die Sie in der Konfiguration des Anbieters des Workforce Identity-Pools festgelegt haben.
Führen Sie folgende Schritte aus, um diesen Fehler zu beheben:
Beschreiben Sie den Anbieter und prüfen Sie
attributeMapping
. Ermitteln Sie die Zuordnung, die fürgoogle.subject
konfiguriert ist. Wenn die Zuordnung nicht korrekt ist, aktualisieren Sie den Anbieter des Workforce Identity-Pools.Im Abschnitt Antwort des IdP prüfen finden Sie die vom IdP zurückgegebene Antwort. Prüfen Sie den Wert des Attributs aus der IdP-Antwort, die in Ihren Attributzuordnungen
google.subject
zugeordnet ist.Wenn der Wert leer oder falsch ist, melden Sie sich in der Admin-Konsole Ihres IdP an und prüfen Sie die konfigurierten Attribute. Prüfen Sie anhand der Attribute, ob der betroffene Nutzer entsprechende Daten bei Ihrem IdP hat. Aktualisieren Sie Ihre IdP-Konfiguration, um die Attribute oder Nutzerinformationen entsprechend zu korrigieren.
Melden Sie sich noch einmal an.
400. Dies ist ein Fehler
Dieser Fehler tritt auf, wenn die Anfrage nicht wie erwartet empfangen wurde oder fehlerhaft war.
Führen Sie folgende Schritte aus, um diesen Fehler zu beheben:
Folgen Sie den Schritten im Abschnitt Nutzer über die Anmeldung informieren, um zu überprüfen, ob Sie die richtigen Schritte zur Anmeldung ausführen.
Vergleichen Sie die Konfiguration Ihres Anbieters für Workforce Identity-Pools mit Ihrer IdP-Konfiguration.
OIDC-Anmeldefehler
Dieser Abschnitt enthält Vorschläge zur Behebung OIDC-spezifischer Fehler, die bei der Anmeldung durch einen Nutzer einer Mitarbeiteridentitätsföderation auftreten können.
Fehler beim Herstellen einer Verbindung zum Aussteller der angegebenen Anmeldedaten
Dieser Fehler tritt auf, wenn ein OIDC-Anbieter von Workforce Identity-Pools das OIDC-Discovery-Dokument oder den JWKS-URI nicht erreichen kann.
Führen Sie folgende Schritte aus, um diesen Fehler zu beheben:
Beschreiben Sie den Anbieter und prüfen Sie den konfigurierten
issuerUri
. Erstellen Sie die Discovery-Dokument-URL, indem Sie/.well-known/openid-configuration
an den Aussteller-URI anhängen. Wenn IhrissuerUri
beispielsweisehttps://example.com
lautet, lautet die URL des Discovery-Dokumentshttps://example.com/.well-known/openid-configuration
.Öffnen Sie die URL des Discovery-Dokuments in einem Inkognito-Browserfenster.
Wenn die URL nicht geöffnet wird oder der Browser den Fehler
404
anzeigt, finden Sie in der Dokumentation Ihres IdP den richtigen Aussteller-URI. Aktualisieren Sie bei Bedarf denissuerUri
in Ihrem Mitarbeiteridentitätsföderations-Pool.Wenn Ihr IdP lokal ausgeführt wird, lesen Sie die Informationen Ihres IdP, um ihn für den Zugriff über das Internet bereitzustellen.
Wenn die URL geöffnet wird, prüfen Sie die folgenden Bedingungen:
- Prüfen Sie, ob die URL nicht zu häufig umgeleitet wird, bevor Sie das Discovery-Dokument bereitstellen. Wenden Sie sich in diesem Fall an den Administrator Ihres IdP, um das Problem zu beheben.
- Prüfen Sie die IdP-Antwortzeit. Wenden Sie sich an Ihren IdP-Administrator, um die Antwortlatenz zu reduzieren.
- Das geöffnete Discovery-Dokument sollte im JSON-Format sein.
Suchen Sie im JSON-Format nach einem Feld
jwks_uri
.- Überprüfen Sie, ob auch der zugehörige URL-Wert geöffnet wird.
- Prüfen Sie, ob die URL die oben in diesem Leitfaden beschriebenen Bedingungen erfüllt.
Melden Sie sich noch einmal an.
SAML-Anmeldefehler
Dieser Abschnitt enthält Vorschläge zur Behebung SAML-spezifischer Fehler, die bei der Anmeldung durch einen Nutzer einer Mitarbeiteridentitätsföderation auftreten können.
Fehler bei der Verifizierung der Signatur in SAMLResponse
Dieser Fehler tritt bei einem Anbieter von SAML-Workforce Identity-Pools auf, wenn die Signatur in der Antwort des IdP nicht mit einem der X.509-Zertifikate verifiziert werden kann, die Sie in der XML-Datei der IdP-Metadaten angeben, welche Sie bei Ihrem Anbieter von Workforce Identity-Pools konfiguriert haben. Eine häufige Ursache für diesen Fehler ist, dass das Verifizierungszertifikat bei Ihrem IdP rotiert wurde, Sie aber die Konfiguration des Anbieters von Workforce Identity-Pools nicht mit der neuesten XML-Datei der IdP-Metadaten aktualisiert haben.
Führen Sie folgende Schritte aus, um diesen Fehler zu beheben:
Optional: Führen Sie die Schritte unter Antwort des IdP prüfen aus, um die vom IdP zurückgegebene Antwort zu sehen und das Feld
X509Certificate
zu sehen. Beschreiben Sie den Anbieter, mit dem Sie sich angemeldet haben, und prüfen Sie das FeldX509Certificate
im WertidpMetadataXml
, der für den Anbieter von Workforce Identity-Pools festgelegt ist. Vergleichen Sie das Zertifikat mit dem Zertifikat, das von Ihrem IdP zurückgegeben wird. Die Zertifikate müssen übereinstimmen.Melden Sie sich in der Admin-Konsole Ihres IdP an und laden Sie die neueste XML-Metadaten herunter.
Aktualisieren Sie den Anbieter von Workforce Identity-Pools für Workloads mit der heruntergeladenen IdP-Metadaten-XML.
Melden Sie sich noch einmal an.
Empfänger in SAML-Assertion ist nicht auf die richtige ACS-URL festgelegt
Dieser Fehler tritt bei einem Anbieter von SAML-Workforce Identity-Pools auf, wenn die IdP-Antwort einen falschen Wert für das Feld Recipient
im Tag SubjectConfirmationData
enthält.
Um diesen Fehler zu beheben, aktualisieren Sie das Recipient URL
/ Redirect URL
oder das entsprechende Feld in der Konfiguration Ihres IdP, um die Weiterleitungs-URL zu verwenden, die unter Weiterleitungs-URLs in Ihrem IdP einrichten beschrieben wird, und versuchen Sie es noch einmal.
Führen Sie die Schritte unter Antwort des IdP prüfen aus, um die vom IdP zurückgegebene Antwort zu sehen, und bestätigen Sie, dass das Feld Recipient
korrekt ist.
Für den Anbieter von SAML-Workforce Identity-Pools locations/global/workforcePools/example-pool/providers/example-provider
wird beispielsweise der Recipient
, der die Weiterleitungs-URL enthält, in der SAML-Antwort des IdP angezeigt, wie unten gezeigt:
<SubjectConfirmationData Recipient="https://auth.cloud.google/signin-callback/locations/global/workforcePools/example-pool/providers/example-provider"
SAMLResponse-Ziel stimmt nicht mit RP-Callback-URL überein
Dieser Fehler tritt bei einem Anbieter von SAML-Workforce Identity-Pools auf, wenn die IdP-Antwort einen falschen Wert für das Feld Destination
im Tag Response
enthält.
Aktualisieren Sie zur Behebung dieses Problems Destination URL
/ Redirect URL
oder das äquivalent Feld in der Konfiguration Ihres IdP zur Verwendung der hier beschriebenen Weiterleitungs-URL in Weiterleitungs-URLs bei Ihrem IdP einrichten.
Führen Sie die Schritte unter Antwort des IdP prüfen aus, um die vom IdP zurückgegebene Antwort zu sehen und zu bestätigen, dass das Feld Destination
korrekt ist.
Bei einem Anbieter von Workforce Identity-Pools locations/global/workforcePools/example-pool/providers/example-provider
würde der Destination
, der die Weiterleitungs-URL enthält, beispielsweise in der SAML-Antwort des IdP so angezeigt werden:
<Response Destination="https://auth.cloud.google/signin-callback/locations/global/workforcePools/example-pool/providers/example-provider"
Ungültige Assertion: fehlende oder leere NameID
Dieser Fehler tritt auf, wenn die von Ihrem IdP empfangene SAML-Antwort das Feld NameId
nicht enthält oder einen leeren Wert hat.
Um diesen Fehler zu beheben, konfigurieren Sie Ihre IdP-Dokumentation so, dass sie NameID
sendet, was das Thema einer SAML-Assertion ist, in der Regel der authentifizierte Nutzer.
Führen Sie die Schritte unter IdP-Antwort prüfen aus, um die vom IdP zurückgegebene Antwort und die dafür festgelegte NameID
zu sehen.
Alle <AudienceRestriction>
-Elemente sollten die SAML-RP-Entitäts-ID enthalten.
Dieser Fehler tritt auf, wenn die AudienceRestriction
-Tags in der SAML-Antwort von Ihrem IdP kein Audience
-Tag mit einem Wert festlegen, der die Entitäts-ID des Anbieters von Workforce Identity-Pools darstellt.
Führen Sie folgende Schritte aus, um diesen Fehler zu beheben:
Informationen zum Konfigurieren der Zielgruppe in den
AudienceRestriction
-Tags, die in der SAML-Antwort gesendet werden, finden Sie in der IdP-Dokumentation. In der Regel wird die Zielgruppe durch Einrichten des FeldsEntity ID
oderAudience
in Ihrer IdP-Konfiguration konfiguriert. Weitere Informationen zu dem festzulegenden WertSP Entity ID
finden Sie im SAML-Abschnitt zum Erstellen eines Anbieters von Mitarbeiteridentitätsföderations-Pools.Nachdem Sie die IdP-Konfiguration aktualisiert haben, wiederholen Sie die Anmeldung.
Führen Sie die Schritte unter IdP-Antwort prüfen aus, um die vom IdP zurückgegebene Antwort und die darauf festgelegten AudienceRestriction
s zu sehen.