Azure ad> единый вход в google apps

Я использую Azure Active Directory для обеспечения единого входа в Google Apps.

Следуя этому руководству, я завершил все настройки: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-saas-google-apps-tutorial

Однако, когда я пытаюсь войти в систему с пользователем, я получаю следующую ошибку:

AADSTS65005: Invalid resource. The client has requested access to a resource which is not listed in the requested permissions in the client's application registration. Client app ID: {GUID}. Resource value from request: . Resource app ID: {GUID}. List of valid resources from app registration: .

Настройки системы единого входа в Google Apps:enter image description here

Разрешения, необходимые для регистрации приложения

enter image description here

Результирующая ошибка при входе в Google Apps

enter image description here

Инициализация работает, аутентификация SAML была протестирована и прошла успешно - любая помощь приветствуется!

1
0
1 217
2

Ответы 2

Я предполагаю, что эта проблема должна быть вызвана недопустимым identifier в настройках единого входа в Google App. Это не должно быть http://google.com/a/<yourdomain.com>. Это просто пример из документации. Это должен быть уникальный идентификатор, который используется совместно с вашим G-Suite.

Это отмечено в этом документе:

Note

These values are not real. Update these values with the actual Sign-On URL and Identifier. Contact Google Apps Client support team to get these values.

Итак, один из способов - связаться со службой поддержки клиентов Google Apps, чтобы получить значение идентификатора.

Другой метод - использовать Fiddler для получения ответа SAML, который включает значение Audience. Это может быть значение идентификатора. Я не уверен на 100%.

Пожалуйста, дайте мне знать, если это поможет!

Дополнительно, я не понимаю, почему это связано с разрешениями, необходимыми для регистрации приложения. Кажется, это не имеет значения.

Wayne Yang 11.04.2018 16:24

Привет, Уэйн, да, отредактированные значения фактически включают мой активный домен - он не использует пример (google.com/a/ <yourdomain.com>), а уникальное значение с моим включенным доменом.

Mitul 11.04.2018 16:28

Ага, я знаю, что вы используете свой живой домен. Я имею в виду, что он должен быть похож на этот формат, он должен быть похож на другие, которым, возможно, потребуется связаться со службой поддержки клиентов Google Apps. Попробуйте это, вы получите другое значение идентификатора.

Wayne Yang 11.04.2018 16:31

@Mitul Вы пробовали использовать Fiddler для получения ответа SAML?

Wayne Yang 11.04.2018 16:32

Решено с помощью действительно полезного звонка в службу поддержки Microsoft - поле идентификатора в конфигурации SSO должно быть в следующем формате:

http://google.com/a/<yourdomain.com>

Это не удалось по следующим схемам:

google.com 
http://google.com
google.com/<yourdomain.com>

Учебник Этот помогает, но неоднозначен и предоставляет 4 примера, необходимо попробовать все из них для конкретного приложения.

Другие вопросы по теме