Google SAML SSO - 登录个人 Google 帐户时出现 403 app_not_configured_for_user 错误

Question

我正在使用 Google/G Suite 为我们的应用程序进行 SAML SSO 集成。我们的客户在他们公司的 G Suite 管理设置中配置我们的 SAML 应用程序。在大多数情况下，集成工作正常：

• 假设您尚未登录 Google 帐户。您启动 SSO 过程。系统会提示您登录公司的 Google 帐户，并且 SSO 可以正常工作。

• 假设您已经登录到您的公司 Google 帐户和您的个人 Google 帐户。您启动 SSO 过程。您会看到一个帐户选择器。如果您选择您的公司 Google 帐户，SSO 将正常工作。

但是，在这种情况下，SSO 会失败：

• 假设您只登录了您的个人 Google 帐户。Google 不会显示帐户选择器。相反，您会立即收到 403 错误：“错误：app_not_configured_for_user。”

这给我们的用户带来了非常混乱的体验。您目前只登录了一个不是您公司的 google 帐户的 google 帐户，这是很常见的。此外，错误页面是不透明的——用户不清楚他们做错了什么。

有没有办法始终显示帐户选择器？例如，我们可以向/o/saml2/idpurl 或 SAML AuthnRequest添加任何参数吗？（例如，我们尝试在 AuthnRequest 中设置ForceAuthn和添加一个<saml:Subject>块，但似乎 Google 的 SAML 也不支持。）

或者有没有办法让我们的应用程序在错误时获得回调，以便我们可以显示更有意义的错误消息？

（我联系了 G Suite 支持，他们说要在 Stack Overflow 上问我们的问题。感谢您的帮助！）

Answer 1

我在使用 Keeper 密码管理器时遇到了完全相同的问题。我通过删除 ~/Library/Application Support/Keeper Password Manager/Cookies 中的所有内容解决了这个问题

我建议您在应用程序中查找类似的文件夹并执行相同的操作