S’applique à
- Enterprise
Erreur d’authentification unique via SAML : opensaml::BindingException
Who can use this?
Plans:
- Enterprise
Symptôme
Erreur d’authentification unique via SAML : opensaml::BindingException at (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) Request missing SAMLResponse or TARGET form parameters (La RéponseSAML ou les paramètres du formulaire CIBLE sont absents de la demande)
Cette erreur se produit lorsque vous essayez de vous connecter à Smartsheet avec SAML, souvent lors de la configuration initiale de SAML.
- Accédez à la page de connexion à Smartsheet.
- Sélectionnez Votre compte d’entreprise.
Saisissez les identifiants reconnus par l’IdP.
L’IdP essaie de rediriger l’utilisateur vers Smartsheet, mais le message d’erreur apparaît.
Cette erreur peut se produire même si l’assertion semble correcte (certificat, restriction d’audience, NameID/identifiant persistant, attribut d’adresse e-mail).
Cause
Cette erreur se produit si l’IdP essaie de rediriger l’utilisateur vers https://sso.smartsheet.com/Shibboleth.sso/SAML/POST au lieu de https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST. Cette redirection dépend de l’URL du service consommateur d’assertion (Assertion Consumer Service, ou ACS), configurée pour Smartsheet dans l’IdP du client.
Certains fournisseurs d’identité, comme Citrix ADC, essaieront d’analyser automatiquement l’URL ACS depuis le fichier XML des métadonnées du prestataire de services Smartsheet, qui se trouve ici : https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml
Dans les métadonnées de Smartsheet, nous retrouvons quatre liaisons AssertionConsumerService, définies comme suit :
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" | Liaison utilisée pour les assertions SAML 2 (il s’agit de celle utilisée par SAML 2.0 dans 99 % des configurations) C’est celui qui est utilisé par SAML 2.0 dans 99 % des configurations.
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" | Liaison utilisée pour SAML 2 comme alternative à HTTP-POST avec un mécanisme de signature différent (voir ici http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html) Voir ici : http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html)
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" | Point de terminaison SOAP inversé pour SAML 2
- Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" | Point de terminaison POST SAML 1 pour les assertions SAML 1
Bien que le fichier XML de métadonnées du prestataire de services contienne des liaisons ACS valides pour SAML 1.0, Smartsheet requiert l’utilisation de SAML 2.0.
Dans le cas de Citrix ADC, l’IdP captait automatiquement la mauvaise liaison ACS de SAML 1.0, même si Citrix utilise SAML 2.0. Collaborez avec votre IdP. Informez-le que la sélection automatique de liaisons ACS est incorrecte et qu’il faudrait définir manuellement l’URL ACS.
Résolution
Pour résoudre ce problème, demandez à votre administrateur IdP de configurer l’URL ACS avec la bonne URL : https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
Vérifiez que la configuration de vos paramètres est la suivante :
- URL ACS : https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
- Restriction d’audience : https://sso.smartsheet.com/saml
- Validation des certificats : https://redkestrel.co.uk/products/decoder/
- Utilisation de formats pris en charge par la revendication des identifiants persistants et d’adresse e-mail : https://help.smartsheet.com/fr/articles/2476671-saml-assertion-supported-claims