Я работаю над интеграцией единого входа SAML для нашего приложения с помощью Google / G Suite. Наши клиенты настраивают наше приложение SAML в настройках администратора G Suite своей компании. В большинстве случаев интеграция работает правильно:
- Предположим, вы еще не вошли в учетную запись Google. Вы инициируете процесс единого входа. Вам будет предложено войти в учетную запись Google вашей компании, и SSO будет работать правильно.
- Предположим, вы уже подписаныв вашу учетную запись Google и вашу личную учетную запись Google. Вы инициируете процесс единого входа. Вы видите выбор аккаунта. Если вы выбираете учетную запись Google вашей компании, SSO работает правильно.
Однако в этом случае произойдет сбой единого входа:
- Предположим, вы вошли только в свой личный Googleучетная запись. Google не отображает выбор аккаунта. Вместо этого вы сразу получаете ошибку 403: «Ошибка: app_not_configured_for_user.»
Это привело к очень запутанному опыту для наших пользователей,Довольно часто вы в настоящее время входите только в одну учетную запись Google, которая не является учетной записью Google вашей компании. Кроме того, страница ошибок непрозрачна - пользователю не ясно, что он сделал не так.
Можно ли как-то всегда показывать средство выбора учетной записи? Например, есть ли какие-либо параметры, которые мы можем добавить к /o/saml2/idp url или SAML AuthnRequest? (Например, мы попытались установить ForceAuthn и добавить блок <saml:Subject> в AuthnRequest, но, похоже, SAML от Google тоже не поддерживает.)
Или существует способ для нашего приложения получить обратный вызов при ошибке, чтобы мы могли показать более значимое сообщение об ошибке?
(я связался со службой поддержки G Suite, и они сказали, что вместо этого задайте наш вопрос о переполнении стека. Благодарим вас за помощь!)