Error de SSO de SAML: opensaml::BindingException

Síntoma

Error de SSO de SAML: opensaml::BindingException en (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) Faltan los parámetros SAMLResponse o TARGET form en la solicitud

Este error ocurre al intentar iniciar sesión en Smartsheet con SAML. Con frecuencia, suele aparecer en la configuración inicial de SAML.

1. Vaya a la página de inicio de sesión de Smartsheet.
2. Seleccione Su cuenta de empresa.

3. Ingrese sus credenciales del Proveedor de Identidad (IdP).

   IdP intenta redireccionar al usuario a Smartsheet, pero aparece el mensaje de error. 

Este error puede producirse incluso cuando todo en la aserción parece ser correcto, como el Certificado, Restricción de público, ID de nombre/ID persistente o atributo de Dirección de correo electrónico.

Causa

Este error ocurre si el IdP intenta redireccionar al usuario a https://sso.smartsheet.com/Shibboleth.sso/SAML/POST en lugar de https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST. Este redireccionamiento depende de la URL del Servicio del Consumidor de Aserciones (ACS) configurada para Smartsheet en el IdP del cliente.

Algunos proveedores de identidad, como Citrix ADC, intentan analizar automáticamente la URL de ACS desde los metadatos XML del Proveedor de Servicios de Smartsheet aquí: https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml.

Dentro de los metadatos de Smartsheet, hay cuatro vinculaciones del Servicio de Consumidor de Aserciones con las siguientes definiciones:

• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"— Usado para aserciones SAML2. Este es el que se utiliza en SAML 2.0 en el 99% de las configuraciones.
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign"— Usado para SAML 2, una alternativa a HTTP-POST con un mecanismo de firma alternativo. Vea aquí: http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html.
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS"— Extremo de SOAP inverso para SAML 2.
• Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post"— Extremo de SAML 1 POST para aserciones SAML 1.

Si bien el XML de metadatos de SP contiene vinculaciones de ACS que son válidas para SAML 1.0, Smartsheet requiere el uso de SAML 2.0

En el caso de Citrix ADC, el IdP estaba tomando automáticamente la vinculación de ACS incorrecta para SAML 1.0, a pesar de que Citrix utiliza SAML 2.0. Trabaje con su proveedor de IdP. Infórmeles que la selección automática de la vinculación de ACS es incorrecta y que deben definir manualmente la URL de ACS en su lugar.

Resolución

Para resolver este error, haga que su administrador de IdP se asegure de que ha configurado la URL de ACS con la URL correcta: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST.

Revise sus ajustes de configuración de la siguiente manera:

• ACS URL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
• Restricción de público: https://sso.smartsheet.com/saml
• Valide sus certificados: https://redkestrel.co.uk/products/decoder/
• ¿Las reclamaciones de ID persistente y dirección de correo electrónico utilizan formatos compatibles?: https://help.smartsheet.com/articles/2476671-saml-assertion-supported-claims