Es posible que algunas partes de esta página usen traducción automática.

Identificar problemas en una afirmación de SAML

Utilice las instrucciones de este artículo para identificar posibles problemas en su aserción de SAML.

¿Quién puede usar esto?

Planes:

  • Enterprise

Permisos:

  • System Admin (Administrador del sistema)

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

Requisitos previos

Primero, necesitarás capturar la afirmación. Descubra cómo.

Paso 1: Limpia tu archivo XML (opcional)

El archivo de afirmación XML puede aparecer como una pared de texto, lo que dificulta encontrar los elementos que buscas.

  1. Copia el texto de la afirmación y ve a xmlprettyprint.com. Pega la copia en el campo de texto y selecciona el botón Pretty Print XML. Si xmlprettyprint.com devuelve una pantalla en blanco, intenta jsonformatter.org/xml-pretty-print
  2. Guardar el archivo. 

Paso 2: Verifica que la afirmación no esté encriptada

Usa Ctrl + F (Cmd + F en una Mac) para buscar en tu archivo:

  • EncryptedAssertion
  • EncryptedData
  • CipherData

Si estos valores están presentes, pide al administrador de IdP que desactive la encriptación de la afirmación para generar una nueva afirmación sin encriptar. El soporte de Smartsheet puede intentar desencriptar el archivo, pero trabajar con tus recursos internos es más rápido para generar una nueva afirmación. 

Paso 3: Analiza la afirmación

La afirmación contiene todos los elementos detallados a continuación. Valida que cada elemento aparezca como se espera. 

Certificados

  • Los certificados autentican la información enviada a Smartsheet. El proceso de inicio de sesión no se completará si los certificados están desactualizados o no pasan.
  • Verifica los certificados en los metadatos. Pueden existir múltiples certificados, y la fecha de expiración de la clave puede no ser precisa.

 

Encuentra el certificado en la afirmación
  1. Abre tu archivo de afirmación. 
  2. Usa Ctrl + F (Cmd + F en un Mac) para buscar 509Certificate.
  3. Copia todos los datos después del > y antes del cierre

 

Verifica el certificado 
  1. Ve a https://redkestrel.co.uk/products/decoder/
  2. Pega los datos del certificado en el campo de texto y selecciona el botón Decode.
  3. Verifica que todos los campos estén pasando.

  4. Verifica que el certificado coincida con el certificado en los metadatos de tu organización. Pide al administrador de IdP que exporte los metadatos de su IdP para cruzar la información de la afirmación.

    Si los certificados no pasan la verificación del certificado o el decodificador, actualiza tu certificado o agrega los metadatos más recientes del IdP en Smartsheet. 

 

Reclamaciones de atributos

La afirmación contiene una larga lista de reclamaciones o atributos. Smartsheet solo requiere dos reclamaciones para la autenticación: la reclamación de ID persistente (también conocida como Name ID) y la reclamación de dirección de correo electrónico. 

Smartsheet verifica dos cosas: 

  • ¿Está configurada correctamente la reclamación?
  • ¿Se pasa la información correcta?

Asegúrate de que cualquier reclamación esté configurada como se muestra en este artículo del Centro de Ayuda

 

Verifica el ID persistente

Usa Ctrl + F (Cmd + F para Mac) y busca "NameID" o "name=". 

Al configurar SAML por primera vez, los usuarios pueden establecer el elemento NameID para su reclamo de ID persistente. Los formatos a continuación son ejemplos aceptados. 

  • urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
  • urn:oasis:names:tc:SAML:2.0:nameid­-format:email
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
  • urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
  • urn:oid:1.3.6.1.4.1.5923.1.1.1.10

Aquí hay un ejemplo de un atributo NameID Persistent ID

user@domaindotcom

El texto en negrita resalta la parte del reclamo a verificar. Si usas NameID, debe coincidir con uno de los ejemplos anteriores. 

El texto en cursiva resalta la información que el IdP pasa a Smartsheet para autenticar al usuario. Para el ID persistente/nombre, esto no tiene que ser una dirección de correo electrónico en la cuenta de Smartsheet deseada, pero a menudo lo es. 

Otra opción común es el ID de usuario del IdP para esa persona. Si la sección en cursiva anterior no incluye el correo electrónico del usuario, anota esto como un posible problema.  

Al configurar SAML por primera vez, los usuarios también pueden optar por no usar el elemento NameID y en su lugar pasarnos un atributo de ID persistente directo.

Un atributo de ID persistente aceptado podría verse como el ejemplo anterior (con uno de esos seis reclamos aceptados) o como el ejemplo a continuación (con uno de cinco reclamos aceptados): 

  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname""
  • name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
  • name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Aquí hay un ejemplo de un atributo Persistent ID:
 

user@domaindotcom

El reclamo está formateado en negrita. Este atributo está listo para usar si este reclamo coincide con los ejemplos aceptados. Verifica el texto en cursiva para asegurarte de que se pase una dirección de correo electrónico en la cuenta de Smartsheet deseada. Si la sección en cursiva anterior no es el correo electrónico, anota esto como un posible problema.

 

Atributo de dirección de correo electrónico

Usa Ctrl + F (Cmd + F para Mac) y busca "emailaddress" o "nameFormat". 

El atributo de dirección de correo electrónico debe pasar una dirección de correo electrónico verificada en la cuenta de Smartsheet y no aceptará elementos NameID, como el atributo Persistente mencionado anteriormente. También debe coincidir con uno de los reclamos a continuación y pasar el correo electrónico correcto. 

  • name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="Email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
  • name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
  • name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="mail",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic" 

Aquí hay un ejemplo de cómo aparece esto en una afirmación: 

name="emailaddress"nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">http://www.w3.org/2001/XMLSchema"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">;user@domaindotcom

El reclamo está resaltado en verde y azul. Mientras este reclamo coincida con nuestros ejemplos aceptados, este atributo está listo para usar. Verifica el texto púrpura para asegurarte de que se pase una dirección de correo electrónico en la cuenta de Smartsheet deseada. 

Si el correo electrónico en la sección en cursiva no es el correcto, actualiza el atributo del usuario en el IdP o agrega el otro correo electrónico como una dirección de correo electrónico alternativa confirmada en Smartsheet. Consulta con tu administrador de IdP para determinar el mejor camino a seguir.

 

Revisa tus hallazgos

Una afirmación debe cumplir con los siguientes requisitos: 

  1. El certificado pasa y coincide con el certificado en los metadatos de la organización.

  2. El atributo ID Persistente/NameID coincide con uno de los ejemplos y pasa una dirección de correo electrónico de la cuenta de Smartsheet deseada.

    A veces, este reclamo pasará otro valor, lo cual puede estar bien. Confirma que el valor que se está pasando es el correcto. Si no hay otros problemas, intenta pasar un correo electrónico verificado (en la cuenta de Smartsheet) para ese reclamo en su lugar. 

  3. El atributo de dirección de correo electrónico coincide con un ejemplo de reclamo y pasa una dirección de correo electrónico de la cuenta de Smartsheet deseada.