Error de SSO de SAML: opensaml::BindingException

Síntoma

Error de SSO de SAML: opensaml::BindingException en (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) Faltan los parámetros SAMLResponse o TARGET form en la solicitud

Este error se produce cuando se intenta iniciar sesión en Smartsheet con SAML. Con frecuencia, suele aparecer en la configuración inicial de SAML.

1. Vaya a la página de inicio de sesión de Smartsheet.
2. Seleccione La cuenta de su empresa.
3. Ingrese las credenciales de IdP.
4. IdP intenta redireccionar al usuario a Smartsheet, pero aparece el mensaje de error. 

Este error puede producirse incluso cuando todos los atributos de la aserción parecen ser correctos (atributos Certificado, Restricción de público, ID de nombre/ID persistente, Dirección de correo electrónico).

Causa

Este error ocurre cuando IdP intenta redireccionar al usuario a https://sso.smartsheet.com/Shibboleth.sso/SAML/POST en lugar de https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST. Este redireccionamiento depende de la URL del Servicio del consumidor de aserciones (ACS) configurado para Smartsheet en el IdP del cliente.

Algunos proveedores de servicios de identidad, como Citrix ADC, intentan analizar la URL del ACS automáticamente desde los metadatos XML del Proveedor de servicios de Smartsheet aquí: https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml

Dentro de los metadatos de Smartsheet, existen cuatro vinculaciones del Servicio de consumidor de aserciones con las siguientes definiciones:

• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" | Se utiliza para aserciones de SAML2 (este es el que usa SAML 2.0 en el 99% de las configuraciones)
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" | Se utiliza para la alternativa de SAML 2 a HTTP-POST con un mecanismo de firma alternativo (Consulte aquí http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html) 
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" | Extremo de SOAP inverso para SAML 2
• Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" | Extremo de SAML 1 POST para aserciones de SAML 1

Si bien el XML de metadatos de SP contiene vinculaciones de ACS que son válidas para SAML 1.0, Smartsheet requiere el uso de SAML 2.0

En el caso de Citrix ADC, el IdP estaba tomando automáticamente la vinculación de ACS incorrecta para SAML 1.0, pese a que Citrix utiliza SAML 2.0. Trabaje con su proveedor de IdP. Infórmele que la selección automática de la vinculación de ACS es incorrecta y que, en su lugar, debe definirse manualmente la URL de ACS.

Resolución

Para resolver este error, el administrador de IdP debe asegurarse de configurar la URL de ACS de manera correcta: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST

Revise los ajustes de configuración de la siguiente manera:

• URL de ACS: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
• Restricción de público: https://sso.smartsheet.com/saml
• Valide sus certificados: https://redkestrel.co.uk/products/decoder/
• ¿Las reclamaciones de ID persistente y dirección de correo electrónico utilizan formatos compatibles? https://help.smartsheet.com/articles/2476671-saml-assertion-supported-claims