Dépannage

Plan d'urgence en cas de désactivation du SSO

Suivez les étapes suivantes pour désactiver immédiatement le SSO entre Okta et Google Workspace :

  1. Connectez-vous à Google Workspace en utilisant l'URL de la porte dérobée (http://www.google.com/a/mydomain.com).
  2. Sélectionnez Outils avancés > Configurer l’authentification unique (SSO).
  3. Décochez la case Activer l'authentification unique.
  4. Effacez les 3 champs URL.
  5. Cliquez sur Enregistrer les modifications.

Une fois la SSO désactivée, la page de connexion avec nom d'utilisateur/mot de passe s'affiche pour tous les utilisateurs finaux lorsqu'ils tentent d'accéder à Google Workspace. 30 secondes peuvent s'écouler avant l'apparition du message.

Erreurs de SSO

Lorsque vous utilisez un environnement Google dans lequel l'accès averti au contexte de Google (CAA) est activé, il se peut que vous rencontriez des problèmes pour cliquer sur les vignettes dans Okta. Si vous rencontrez un message d'erreur d'Access Denied, actualisez la page.

Incohérence entre les attributs de API Google et de l'interface utilisateur

Les attributs Okta sont mis en correspondance avec le schéma utilisateur de Google dans l'API Google Directory. Dans certains cas, l'interface utilisateur de Google Admin et l'interface utilisateur de l'application Contacts sont incompatibles avec le schéma utilisateur de Google en question. Par exemple, une valeur d'attribut peut ne pas apparaître dans l'interface utilisateur, même si l'API remplit correctement l'attribut. De plus, une valeur d'attribut saisie dans l'interface utilisateur (UI) d'administration Google peut ne pas s'afficher correctement dans le schéma utilisateur Google. En règle générale, il convient d'interroger directement l'API Google Directory pour déterminer si Okta a correctement transféré les profils des utilisateurs vers Google. Les cas d'utilisation suivants montrent l'impact de ces incohérences et montrent comment les contourner :

Valider les données de l'utilisateur dans le schéma utilisateur de Google

Créer un utilisateur dans Google Workspace à partir d'Okta

Importer un utilisateur à partir de Google Workspace

Importer des utilisateurs à partir de Google et les mettre à jour à partir d'Okta

Valider les données de l'utilisateur dans le schéma utilisateur de Google

Utilisez l'outil Google APIs Explorer pour valider les données utilisateur dans le schéma utilisateur de Google.

  1. Accédez à la documentation users.get.
  2. Ouvrez l'explorateur API en cliquant sur l'icône API .
  3. Authentifiez-vous avec Oauth en utilisant les permissions par défaut.
  4. Saisissez l'adresse e-mail principale de l'utilisateur concerné dans le champ userKey.

Créer un utilisateur dans Google Workspace à partir d'Okta

Les valeurs des attributs de base des utilisateurs de Google Workspace suivantes sont créées dans Okta et transférées vers Google Workspace. Ces attributs n'apparaissent pas dans l'app Contacts ni dans l'interface utilisateur de Google Admin, mais ils apparaissent dans l' API.

  • Adresse e-mail secondaire
  • Numéro et rue
  • Ville
  • Statut
  • Code postal
  • Code du pays

Importer un utilisateur à partir de Google Workspace

Par défaut, Okta ne procède pas à l'importation de certains attributs utilisateur saisis via l'interface utilisateur de Google Admin. Cela s'explique par la présence de valeurs d'attribut incorrectes dans le schéma utilisateur de Google via l'API. La solution proposée consiste à utiliser un outil tel que GAM pour reconfigurer les valeurs d'attribut afin qu'Okta puisse les importer. Ce problème ne concerne que les importations à partir de Google Workspace. L'approvisionnement des attributs à partir d'Okta vers Google Workspace fonctionne sans problème.

Nom de l'attribut de l'interface utilisateur Google Admin

Exemple de données saisies dans Google

Exemple de données affichées dans le schéma utilisateur de Google via l'API

Utilisez GAM pour reconfigurer l'exemple de données dans le schéma utilisateur de Google

L'attribut apparaît dans l'attribut de base ou l'attribut personnalisé de Google Workspace.
Adresse e-mail secondaire mailto:myemail@test.com emails: address=myemail@test.com, type=custom, customType="" emails: type=work address=myemail@test.com
Work email
Phone (Work) 111-111-1111 phones: type=work value=111-111-1111 aucune mise à jour dans GAM n'est nécessaire
Téléphone principal
Phone (Home) 111-111-1111 phones: type=home value=111-111-1111 aucune mise à jour dans GAM n'est nécessaire À ajouter en tant qu'attribut personnalisé :
Phones Home Value
Phone (Mobile) 111-111-1111 phones: type=mobile value=111-111-1111 aucune mise à jour dans GAM n'est nécessaire
Phones WorkMobile Value
Address (Work) 301 Brannan St San Francisco, CA 94105 addresses: type=work formatted="301 Brannan St San Francisco, CA 94105" addresses: type=work streetAddress="301 Brannan St" locality="San Francisco" Region="CA" PostalCode="94105"
  • Numéro et rue
  • Ville
  • Statut
  • Code postal
Adresse (personelle) 301 Brannan St San Francisco, CA 94105 addresses: type=home formatted="301 Brannan St San Francisco, CA 94105" addresses: type=home streetAddress="301 Brannan St" locality="San Francisco" Region="CA" PostalCode="94105" À ajouter en tant qu'attribut personnalisé :
  • addressesHomeStreetAdress
  • addressesHomeLocality
  • addressesHomeRegion
  • addressesHomePostalCode
Employee ID 123 externalIds: type=organization value=123 aucune mise à jour dans GAM n'est nécessaire À ajouter en tant qu'attribut personnalisé :
ExternalIds Organization Value
de l'organisation admin@oktaskylab.net relations: type=Manager value=admin@oktaskylab.net aucune mise à jour dans GAM n'est nécessaire
de l'organisation
Titre Commercial organizations: title=Sales customType="" organizations: title=Sales type="work"
Organizations title
Employee type Engineer organizations: description=Engineer customType="" organizations: description=Engineer customType="work" À ajouter en tant qu'attribut personnalisé :
Organizations Work Description
Service Engineering organizations: department=Engineering customType="" organizations: department=Engineering customType="work"
Organizations department
Centre de coûts EN101 organizations: costCenter=EN101 customType="" organizations: costCenter=EN101 customType="work"
Organizations costCenter

Importer des utilisateurs à partir de Google et les mettre à jour à partir d'Okta

Supposons qu'un utilisateur de Google Workspace a été initialement créé dans l'interface utilisateur de Google Admin. La mise à jour de leur profil dans Okta ne remplace pas les valeurs d'attributs qui ont été initialement remplies dans l'interface utilisateur de Google Workspace (Okta ne correspond pas explicitement à cela). Par exemple, si l'attribut Cost Center0 est d'abord rempli dans l'interface utilisateur de Google Admin, la mise à jour de l'attribut costCenter des organisations dans Okta n'entraînera pas de mise à jour de l'interface utilisateur de Google Admin. En revanche, supposons que l'attribut Téléphone (Travail) soit d'abord rempli dans l'interface utilisateur de Google Admin. Dans ce cas, la mise à jour du Téléphone principal de l'utilisateur dans Okta entraîne une mise à jour dans l'interface utilisateur de Google Admin.

Problèmes connus et erreurs fréquentes

  • Attributs à plusieurs mots

    La barre de recherche qui se situe dans la séquence Personnes > Éditeur de profil > Utilisateur Google Workspace > Ajouter un attribut ne vous permet pas de rechercher les noms d'attributs à plusieurs mots qui contiennent des espaces.

  • Attribut Primary Email différent

    Le profil utilisateur de Google Workspace affiche un attribut Primary Email différent. Ce problème est dû au fait que l'instance de Google Workspace a été créée avant la mise à jour GA de janvier 2015 et qu'il s'agit d'une implémentation obsolète. Configurez une toute nouvelle instance Google Workspace dans votre organisation Okta et de désactiver l'ancienne. Si cette solution n'est pas envisageable, continuez à utiliser l'instance existante, mais n'associez aucun attribut d'utilisateur Okta à l'attribut Primary Email de l'utilisateur Google Workspace.

  • L'application Contact ne s'affiche pas

    Après avoir approvisionné un utilisateur dans Google Workspace, l'application Contacts ne comporte aucune mise à jour du profil utilisateur. Il s'agit d'un comportement habituel. Il peut s'écouler jusqu'à 24 heures avant que les valeurs mises à jour apparaissent dans la section Répertoire Google Workspace de l'application Contacts.

  • Comment les groupes Google sont-ils affectés par Okta ?

    Okta importe les groupes d'un utilisateur lorsqu'ils sont importés à partir Google Workspace ou lorsque son compte Google Workspace est affecté à son compte Okta. Une fois qu'un utilisateur est importé ou affecté, les mises à jour des groupes dans Google Workspace ne sont pas reflétées dans Okta. Vous pouvez exécuter une importation pour obtenir les modifications ultérieures apportées aux groupes Google Workspace.

    Sélectionnez Envoyer les profils utilisateur Okta vers Google Workspace pour que les modifications apportées aux groupes dans Okta soient transférées vers Google Workspace.

  • Erreurs d'importation

    Si de nouvelles unités organisationnelles sont ajoutées dans Google, vous devrez peut-être actualiser les données de votre application avant d'exécuter une importation. Sinon, l'erreur suivante risque de s'afficher :

    Field error in object GoogleAppBaseProfile on field orgUnitPath: rejected value

  • Les attributs de schémas personnalisés n'apparaissent pas

    Si vous utilisez la fonctionnalité de découverte de schémas améliorée pour Google Workspace, mais que vous ne voyez pas de nouveaux attributs apparaître dans Profile Editor Okta, vous devez vous authentifier à nouveau dans l'onglet Approvisionnement, pour permettre à Okta d'importer des schémas personnalisés depuis Google Workspace.

    Pour ce faire, accédez à l'onglet Approvisionnement, puis sélectionnez Intégration d'API et authentifiez-vous à nouveau.

  • Erreurs lors des mises à jour du profil

    Imaginez le cas où vous utilisez la reconnaissance de schéma améliorée pour Google Workspace. Supposons que vous ayez importé et affecté certaines propriétés à partir d'un schéma utilisateur personnalisé dans Google Workspace (par exemple, New_UserSchema. Si vous supprimez ce schéma de Google Workspace, vous risquez de rencontrer l'erreur suivante :

    An example of an error message.

    Pour corriger cette erreur, supprimez manuellement les propriétés personnalisées de l'utilisateur Google Workspace d'Okta dans Profile Editor. Consultez Mapper des attributs Okta avec des attributs d'application dans Profile Editor.

Ressources Google