Es posible que algunas partes de esta página usen traducción automática.

Aplica a

Smartsheet
  • Enterprise

Para obtener más información sobre los tipos de planes y las capacidades incluidas, consulte la página de planes de Smartsheet https://es.smartsheet.com/pricing.

Capacidades

¿Quiénes pueden usar esta capacidad?

  • System Admin (Administrador del sistema)

Consulte si esta capacidad está incluida en Smartsheet Regions o Smartsheet Gov.

Identificar problemas en una afirmación de SAML

Utilice las instrucciones de este artículo para identificar posibles problemas en su aserción de SAML.

¿Quién puede usar esto?

Planes:

  • Enterprise

Permisos:

  • System Admin (Administrador del sistema)

Averigüe si esta capacidad está incluida en Smartsheet Regions o Smartsheet Gov.

Requisitos previos

En primer lugar, tendrás que capturar la afirmación. Descubra cómo.

Paso 1: Limpia tu archivo XML (opcional)

El archivo de aserción XML puede aparecer como una pared de texto, lo que dificulta encontrar los elementos que está buscando.

  1. Copie el texto de la aserción y vaya a xmlprettyprint.com.No. Pegue la copia en el campo de texto y seleccione el XML de impresión bonita botón. Si xmlprettyprint.com. Devuelve una pantalla en blanco, inténtelo jsonformatter.org/xml-pretty-print.No. 
  2. Guarde el archivo. 

Paso 2: Verifique que la aserción no esté cifrada

Usar Ctrl + F (Cmd + F) en un Mac) para buscar el archivo:

  • Afirmación cifrada
  • Datos cifrados
  • Datos cifrados

Si estos valores están presentes, haga que el Administrador de IdP deshabilite el cifrado de aserciones para generar una nueva aserción sin cifrar. El soporte técnico de Smartsheet puede intentar descifrar el archivo, pero trabajar con los recursos internos es más rápido para generar una nueva aserción. 

Paso 3: Analizar la aserción

La aserción contiene todos los elementos detallados a continuación. Validar cada elemento aparece como se esperaba. 

Certificados

  • Los certificados autentican la información pasada a Smartsheet. El proceso de inicio de sesión no se completará si los certificados están obsoletos o no se aprueban.
  • Compruebe los certificados en los metadatos. Es posible que existan varios certificados y que la fecha de caducidad de la clave no sea exacta.

 

Buscar el certificado en la aserción
  1. Abra el archivo de aserción. 
  2. Usar Ctrl + F (Cmd + F) en un Mac) para buscar 509CertificadoNo.
  3. Copie todos los datos después de la > y antes del cierre

 

Compruebe el certificado 
  1. Ir a https://redkestrel.co.uk/products/decoder/.
  2. Pegue los datos del certificado en el campo de texto y seleccione el Decodificar botón.
  3. Compruebe que todos los campos están pasando.

  4. Compruebe que el certificado coincide con el certificado de los metadatos de la organización. Pídale al administrador de IdP que exporte los metadatos de su IdP para hacer referencia cruzada a la información de aserción.

    Si los certificados no pasan la comprobación del certificado o el decodificador, Actualice su certificado o agregue los metadatos más recientes de la IdP a Smartsheet. 

 

Reclamaciones de atributo

La aserción contiene una larga lista de afirmaciones o atributos. Smartsheet solo requiere dos notificaciones para la autenticación: la notificación Persistent ID (también conocida como Name ID) y la notificación Email Address. 

Smartsheet comprueba dos cosas: 

  • ¿Está configurada correctamente la reclamación?
  • ¿Se ha transmitido la información correcta?

Asegúrese de que todas las reclamaciones se configuran como se muestra en este artículo del Centro de ayudaNo. 

 

Compruebe el Id. persistente

Usa Ctrl + F (Cmd + F para Mac) y busca "NameID" o "name=". 

Al configurar SAML por primera vez, los usuarios pueden establecer el elemento NameID para su notificación de Id. persistente. Los siguientes formatos son ejemplos aceptados. 

  • urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
  • urn:oasis:names:tc:SAML:2.0:nameid­-format:email
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
  • urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
  • urn:oid:1.3.6.1.4.1.5923.1.1.1.10 

Este es un ejemplo de Id. persistente de NameID atributo: 

user@domaindotcom.

La negrita resalta la parte de la reclamación a comprobar. Si utiliza NameID, debe coincidir con uno de los ejemplos anteriores. 

Las cursivas resaltan la información que el IdP pasa a Smartsheet para autenticar al usuario. Para el ID de nombre/persistente, esto no tiene que ser una dirección de correo electrónico en la cuenta de Smartsheet deseada, pero a menudo lo es. 

Otra opción común es el ID de usuario de IdP para esa persona. Si la sección en cursiva anterior no incluye el correo electrónico del usuario, tenga en cuenta que esto es un problema potencial.  

Al configurar SAML por primera vez, los usuarios también pueden optar por no usar el elemento NameID y, en su lugar, pasarnos un atributo Persistent ID directo.

Un atributo Persistent ID aceptado podría parecerse al ejemplo anterior (con una de esas seis afirmaciones aceptadas) o al ejemplo siguiente (con una de las cinco afirmaciones aceptadas): 

  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"
  • name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
  • name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Este es un ejemplo de Id. persistente atributo:
 

user@domaindotcom.

La reclamación tiene formato en negrita. Este atributo es bueno si esta afirmación coincide con los ejemplos aceptados. Compruebe el texto en cursiva para asegurarse de que se ha pasado una dirección de correo electrónico en la cuenta de Smartsheet deseada. Si la sección en cursiva anterior no es el correo electrónico, tenga en cuenta esto como un problema potencial.

 

Atributo de dirección de correo electrónico

Usa Ctrl + F (Cmd + F para Mac) y busca "dirección de correo electrónico" o "nameFormat". 

El atributo de dirección de correo electrónico debe pasar una dirección de correo electrónico verificada en la cuenta de Smartsheet y no aceptará elementos NameID, como el atributo Persistent anterior. También debe coincidir con uno de los reclamos a continuación y pasar el correo electrónico correcto. 

  • name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="Email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
  • name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
  • name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="mail",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic" 

Aquí hay un ejemplo de cómo esto aparece en una afirmación: 

name="dirección de correo electrónico"nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.">http://www.w3.org/2001/XMLSchema"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">;user@domaindotcom.

El reclamo se destaca en verde y azul. Siempre y cuando esta afirmación coincida con nuestros ejemplos aceptados, este atributo es bueno para ir. Compruebe el texto morado para asegurarse de que se ha pasado una dirección de correo electrónico en la cuenta de Smartsheet deseada. 

Si el correo electrónico de la sección en cursiva no es el correcto, actualice el atributo del usuario en el IdP o Agregar el otro correo electrónico como dirección de correo electrónico alternativa confirmada en Smartsheet. Consulta con el administrador de IdP para determinar el mejor camino a seguir.

 

Revise sus hallazgos

Una aserción debe cumplir los siguientes requisitos: 

  1. El certificado pasa y coincide con el certificado en los metadatos de la organización.

  2. El atributo Persistent ID/NameID coincide con uno de los ejemplos y pasa una dirección de correo electrónico de la cuenta de Smartsheet deseada.

    A veces, esta afirmación pasará otro valor, lo que puede estar bien. Confirme que el valor que se va a pasar está previsto. Si no hay otros problemas, intenta pasar un correo electrónico verificado (en la cuenta de Smartsheet) para esa notificación. 

  3. El atributo de dirección de correo electrónico coincide con un ejemplo de reclamación y pasa una dirección de correo electrónico de la cuenta de Smartsheet deseada. 

Contenido relacionado

¿El artículo resultó útil?
SiNo