Teile dieser Seite wurden möglicherweise maschinell übersetzt.

Identifizieren Sie Probleme in einer SAML-Assertion

Verwenden Sie die Anweisungen in diesem Artikel, um potenzielle Probleme in Ihrer SAML-Assertion zu identifizieren.

Wer kann das nutzen?

Pläne:

  • Enterprise

Berechtigungen:

  • Systemadmin

Finden Sie heraus, ob diese Funktion in Smartsheet-Regionen oder Smartsheet Gov enthalten ist.

Voraussetzungen

Zunächst müssen Sie die Behauptung erfassen. Weitere Informationen dazu.

Schritt 1: Bereinigen Sie Ihre XML-Datei (optional)

Die XML-Assertionsdatei kann als eine Textwand erscheinen, was es schwierig macht, die Elemente zu finden, nach denen Sie suchen.

  1. Kopieren Sie den Text der Assertion und gehen Sie zu xmlprettyprint.com. Fügen Sie die Kopie in das Textfeld ein und wählen Sie die Schaltfläche Pretty Print XML. Wenn xmlprettyprint.com einen leeren Bildschirm zurückgibt, versuchen Sie es mit jsonformatter.org/xml-pretty-print. 
  2. Speichern Sie die Datei. 

Schritt 2: Stellen Sie sicher, dass die Assertion nicht verschlüsselt ist

Benutze Strg + F (Cmd + F auf einem Mac), um deine Datei zu durchsuchen nach:

  • EncryptedAssertion
  • EncryptedData
  • CipherData

Wenn diese Werte vorhanden sind, lassen Sie den IdP-Administrator die Assertionsverschlüsselung deaktivieren, um eine neue, unverschlüsselte Assertion zu generieren. Der Smartsheet-Support kann versuchen, die Datei zu entschlüsseln, aber die Arbeit mit Ihren internen Ressourcen ist schneller, um eine neue Assertion zu generieren. 

Schritt 3: Analysieren Sie die Behauptung

Die Behauptung enthält alle unten aufgeführten Elemente. Überprüfen Sie, ob jedes Element wie erwartet angezeigt wird. 

Bescheinigungen

  • Zertifikate authentifizieren die an Smartsheet übergebenen Informationen. Der Anmeldevorgang wird nicht abgeschlossen, wenn die Zertifikate veraltet sind oder nicht bestanden werden.
  • Überprüfen Sie die Zertifikate in den Metadaten. Es können mehrere Zertifikate vorhanden sein, und das Ablaufdatum des Schlüssels ist möglicherweise nicht korrekt.

 

Suchen Sie das Zertifikat in der Assertion
  1. Öffnen Sie Ihre Assertionsdatei. 
  2. Verwenden Sie Strg + F (Cmd + F auf einem Mac), um nach 509Certificate zu suchen.
  3. Kopiere alle Daten nach dem > und vor dem Schließen

 

Prüfen Sie das Zertifikat 
  1. Gehe zu https://redkestrel.co.uk/products/decoder/
  2. Fügen Sie die Zertifikatsdaten in das Textfeld ein und wählen Sie die Schaltfläche Dekodieren.
  3. Stellen Sie sicher, dass alle Felder korrekt sind.

  4. Stellen Sie sicher, dass das Zertifikat mit dem Zertifikat in den Metadaten Ihrer Organisation übereinstimmt. Bitten Sie den IdP-Administrator, die Metadaten von seinem IdP zu exportieren, um die Assertionsinformationen abzugleichen.

    Wenn die Zertifikate die Zertifikatsprüfung oder den Decoder nicht bestehen, aktualisieren Sie Ihr Zertifikat oder fügen Sie die neuesten Metadaten vom IdP zu Smartsheet hinzu. 

 

Attributansprüche

Die Behauptung enthält eine lange Liste von Ansprüchen oder Attributen. Smartsheet benötigt nur zwei Ansprüche für die Authentifizierung: den Anspruch auf eine persistente ID (auch bekannt als Name-ID) und den Anspruch auf E-Mail-Adresse. 

Smartsheet prüft auf zwei Dinge: 

  • Ist der Anspruch korrekt geltend gemacht?
  • Werden die richtigen Informationen weitergegeben?

Vergewissern Sie sich, dass alle Ansprüche wie in diesem Hilfecenter-Artikel beschrieben geltend gemacht wurden

 

Überprüfen Sie die persistente ID

Verwenden Sie Strg + F (Cmd + F für Mac) und suchen Sie nach „NameID“ oder „name=“. 

Wenn Benutzer SAML zum ersten Mal einrichten, können sie das NameID-Element für ihren Persistent ID-Anspruch festlegen. Die folgenden Formate sind akzeptierte Beispiele. 

  • urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
  • urn:oasis:names:tc:SAML:2.0:nameid­-format:email
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
  • urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
  • urn:oid:1.3.6.1.4.1.5923.1.1.1.10

Hier ist ein Beispiel für ein NameID Persistent ID-Attribut: 

user @domaindotcom

Die Fettschrift hebt den Teil des Antrags hervor, der überprüft werden soll. Wenn Sie NameID verwenden, sollte es mit einem der obigen Beispiele übereinstimmen. 

Die Kursivschrift hebt die Informationen hervor, die der IdP an Smartsheet übergibt, um den Benutzer zu authentifizieren. Für die persistente/NAME-ID muss dies keine E-Mail-Adresse für das gewünschte Smartsheet-Konto sein, ist es aber oft. 

Eine weitere gängige Wahl ist die IdP-Benutzer-ID für diese Person. Wenn der kursiv gedruckte Abschnitt oben die E-Mail-Adresse des Benutzers nicht enthält, beachten Sie dies als potenzielles Problem.  

Wenn Benutzer SAML zum ersten Mal einrichten, können sie sich auch dafür entscheiden, das NameID-Element nicht zu verwenden und uns stattdessen ein einfaches persistentes ID-Attribut zu übergeben.

Ein akzeptiertes persistentes ID-Attribut könnte wie im obigen Beispiel (mit einem dieser sechs akzeptierten Ansprüche) oder wie im folgenden Beispiel (mit einem von fünf akzeptierten Ansprüchen) aussehen: 

  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname""
  • name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
  • name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Hier ist ein Beispiel für ein persistentes ID-Attribut:
 

name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""

  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="Email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
  • name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name= „E-Mail-Adresse“, NameFormat=“ http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress "“
  • name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="mail",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic" 

    • Hier ist ein Beispiel dafür, wie dies in einer Behauptung erscheint: 

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ">„>; benutzer @domaindotcom

    Der Claim ist grün und blau hervorgehoben. Solange diese Behauptung mit unseren akzeptierten Beispielen übereinstimmt, ist dieses Attribut startklar. Überprüfen Sie den lila Text, um sicherzustellen, dass eine E-Mail-Adresse für das gewünschte Smartsheet-Konto übergeben wurde. 

    Wenn die E-Mail im kursiven Abschnitt nicht die richtige ist, aktualisieren Sie das Benutzerattribut im IdP oder fügen Sie die andere E-Mail als bestätigte alternative E-Mail-Adresse in Smartsheet hinzu. Erkundigen Sie sich bei Ihrem IdP-Administrator nach der besten Vorgehensweise.

     

    Überprüfe deine Ergebnisse

    Eine Assertion muss die folgenden Anforderungen erfüllen: 

    1. Das Zertifikat ist erfolgreich und entspricht dem Zertifikat in den Metadaten der Organisation.

    2. Das Attribut Persistent ID/NameID entspricht einem der Beispiele und übergibt eine E-Mail-Adresse aus dem gewünschten Smartsheet-Konto.

      Manchmal überschreitet dieser Anspruch einen anderen Wert, was in Ordnung sein kann. Bestätigen Sie, dass der übergebene Wert beabsichtigt ist. Wenn es keine anderen Probleme gibt, versuchen Sie stattdessen, eine verifizierte E-Mail (auf dem Smartsheet-Konto) für diesen Anspruch weiterzugeben. 

    3. Das E-Mail-Adressattribut entspricht einem Antragsbeispiel und übergibt eine E-Mail-Adresse aus dem gewünschten Smartsheet-Konto.