SAML-SSO-Fehler: opensaml::BindingException

Symptom

SAML-SSO-Fehler: opensaml::BindingException bei (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST). In der Anforderung fehlt der Formularparameter „SAMLResponse“ oder „TARGET“.

Dieser Fehler tritt auf, wenn Sie sich mit SAML bei Smartsheet anmelden möchten. Er tritt häufig bei der ersten Einrichtung von SAML auf.

1. Navigieren Sie zur Smartsheet-Anmeldeseite.
2. Wählen Sie Ihr Unternehmenskonto aus.
3. Geben Sie die IdP-Anmeldedaten ein.
4. Der IdP versucht, den Benutzer zu Smartsheet weiterzuleiten, aber diese Fehlermeldung wird angezeigt. 

Dieser Fehler kann auch auftreten, wenn alle Angaben in der Assertion richtig zu sein scheinen (Zertifikat, Zielgruppenbeschränkung, NameID/persistente ID, Attribut für die E-Mail-Adresse).

Ursache

Dieser Fehler tritt auf, wenn der IdP den Benutzer zu https://sso.smartsheet.com/Shibboleth.sso/SAML/POST anstatt zu https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST weiterleiten möchte. Diese Umleitung hängt von der ACS-URL (Assertion Consumer Service) ab, die im IdP des Kunden für Smartsheet konfiguriert ist.

Manche Identityprovider, wie Citrix ADC, versuchen, die ACS-URL automatisch aus der Metadaten-XML-Datei für den Smartsheet-Serviceprovider hier zu verarbeiten: https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml

Innerhalb der Smartsheet-Metadaten gibt es vier AssertionConsumerService-Bindungen mit folgenden Definitionen:

• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" | Wird für SAML-2-Assertionen verwendet. Diese wird von SAML 2.0 für 99 % aller Konfigurationen verwendet.
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" | Wird als SAML-2-Alternative zu HTTP-POST mit einem alternativen Signiermechanismus verwendet. Siehe hierzu http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html. 
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" | Reverse-SOAP-Endpunkt für SAML 2
• Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" | SAML 1-POST-Endpunkt für SAML 1-Assertionen

Obwohl die XML-Datei mit den Serviceprovider-Metadaten die gültigen ACS-Bindungen für SAML 1.0 enthält, muss für Smartsheet SAML 2.0 verwendet werden.

Im Fall von Citrix ADC hat der IdP automatisch die falsche ACS-Bindung für SAML 1.0 gewählt, obwohl Citrix auch SAML 2.0 verwendet. Wenden Sie sich an Ihren IdP. Lassen Sie ihn wissen, dass die automatisch ausgewählte ACS-Bindung falsch ist und dass er stattdessen die ACS-URL manuell definieren muss.

Lösung

Zur Behebung dieses Fehlers muss Ihr IdP-Administrator die ACS-URL mit der richtigen URL konfigurieren: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST.

Überprüfen Sie Ihre Konfigurationseinstellungen wie folgt:

• ACS-URL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
• Zielgruppenbeschränkung: https://sso.smartsheet.com/saml
• Validieren Sie Ihre Zertifikate: https://redkestrel.co.uk/products/decoder/
• Verwenden die persistente ID und die Anforderung (Claim) der E-Mail-Adresse unterstützte Formate? https://help.smartsheet.com/articles/2476671-saml-assertion-supported-claims