SAML-SSO-Fehler: opensaml::BindingException

Symptom

SAML-SSO-Fehler: opensaml::BindingException bei (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST). In der Anforderung fehlt der Formularparameter „SAMLResponse“ oder „TARGET“.

Dieser Fehler tritt auf, wenn Sie versuchen, sich mit SAML bei Smartsheet anzumelden. Er tritt häufig bei der ersten Einrichtung von SAML auf.

1. Gehen Sie zur Smartsheet-Anmeldeseite.
2. Wählen Sie Ihr Unternehmenskonto aus.

3. Geben Sie Ihre Identity Provider (IdP) -Anmeldeinformationen ein.

   IdP versucht, den Benutzer zu Smartsheet umzuleiten, aber die Fehlermeldung wird angezeigt. 

Dieser Fehler kann auch dann auftreten, wenn alles in der Assertion korrekt zu sein scheint, z. B. das Zertifikat, die Zielgruppenbeschränkung, die NameID/persistente ID oder das E-Mail-Adressattribut.

Ursache

Dieser Fehler tritt auf, wenn der IdP versucht, den Benutzer auf https://sso.smartsheet.com/Shibboleth.sso/SAML/POST statt auf https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST umzuleiten. Diese Weiterleitung hängt von der Assertion Consumer Service (ACS) -URL ab, die für Smartsheet im IdP des Kunden konfiguriert ist.

Einige Identitätsanbieter, wie Citrix ADC, versuchen hier, die ACS-URL aus dem Smartsheet Service Provider-Metadaten-XML automatisch zu analysieren: https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml

In den Smartsheet-Metadaten gibt es vier Assertion Consumer Service-Bindings mit den folgenden Definitionen:

• binding="urn:oasis:names:tc:SAML:2.0:bindings:http-post“ — Wird für SAML2-Assertionen verwendet. Dies ist derjenige, der von SAML 2.0 in 99% der Konfigurationen verwendet wird.
• binding="urn:oasis:names:tc:SAML:2.0:bindings:http-post-simpleSign“ — Wird für SAML 2 verwendet, eine Alternative zu HTTP-POST mit einem alternativen Signaturmechanismus. Siehe hier: http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html
• binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS“ — Reverse-SOAP-Endpunkt für SAML 2.
• binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post“ — SAML 1-POST-Endpunkt für SAML 1-Assertionen.

Obwohl die XML-Datei mit den Serviceprovider-Metadaten die gültigen ACS-Bindungen für SAML 1.0 enthält, muss für Smartsheet SAML 2.0 verwendet werden.

Im Fall von Citrix ADC hat der IdP automatisch die falsche ACS-Bindung für SAML 1.0 abgerufen, obwohl Citrix SAML 2.0 verwendet. Arbeiten Sie mit Ihrem IdP-Anbieter zusammen. Weisen Sie sie darauf hin, dass die automatische ACS-Bindungsauswahl falsch ist und dass sie stattdessen die ACS-URL manuell definieren müssten.

Lösung

Um diesen Fehler zu beheben, lassen Sie Ihren IdP-Administrator sicherstellen, dass er die ACS-URL mit der richtigen URL konfiguriert hat: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST

Überprüfen Sie Ihre Konfigurationseinstellungen wie folgt:

• ACS URL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
• Zielgruppenbeschränkung: https://sso.smartsheet.com/saml
• Bestätigen Sie Ihre Zertifikate: https://redkestrel.co.uk/products/decoder/
• Dauerhafte ID- und E-Mail-Adressansprüche verwenden unterstützte Formate: https://help.smartsheet.com/articles/2476671-saml-assertion-supported-claims