Erreur d’authentification unique via SAML : opensaml::BindingException

Symptôme

Erreur d’authentification unique via SAML : opensaml::BindingException at (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) Request missing SAMLResponse or TARGET form parameters (La RéponseSAML ou les paramètres du formulaire CIBLE sont absents de la demande)

Cette erreur se produit lors de la tentative de connexion à Smartsheet avec SAML. souvent lors de la configuration initiale de SAML.

1. Allez sur la page de connexion de Smartsheet.
2. Sélectionnez Votre compte d’entreprise.

3. Entrez vos identifiants de fournisseur d’identité (IdP).

   L’IdP essaie de rediriger l’utilisateur vers Smartsheet, mais le message d’erreur apparaît. 

Cette erreur peut se produire même si tout dans l’assertion semble correct, comme le certificat, la restriction d’audience, le NameID/l’identifiant persistant ou l’attribut d’adresse e-mail.

Cause

Cette erreur se produit si l’IdP essaie de rediriger l’utilisateur vers https://sso.smartsheet.com/Shibboleth.sso/SAML/POST au lieu de https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST. Cette redirection dépend de l’URL du service consommateur d’assertion (ACS) configurée pour Smartsheet dans l’IdP du client.

Certains fournisseurs d’identité, comme Citrix ADC, essaient d’analyser automatiquement l’URL ACS depuis le fichier XML des métadonnées du prestataire de services Smartsheet ici : https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml.

Dans les métadonnées de Smartsheet, il y a quatre liaisons de service consommateur d’assertion avec les définitions suivantes :

• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"— Utilisé pour les assertions SAML2. C'est celui qui est utilisé par SAML 2.0 dans 99 % des configurations.
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign"— Utilisé pour SAML 2, une alternative à HTTP-POST avec un mécanisme de signature alternatif. Voir ici : http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html.
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS"— Point de terminaison SOAP inversé pour SAML 2.
• Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post"— Point de terminaison POST SAML 1 pour les assertions SAML 1.

Bien que le fichier XML de métadonnées du prestataire de services contienne des liaisons ACS valides pour SAML 1.0, Smartsheet requiert l’utilisation de SAML 2.0.

Dans le cas de Citrix ADC, l’IdP captait automatiquement la mauvaise liaison ACS pour SAML 1.0, même si Citrix utilise SAML 2.0. Travaillez avec votre fournisseur IdP. Informez-les que la sélection automatique de liaisons ACS est incorrecte et qu’ils devraient définir manuellement l’URL ACS à la place.

Solution

Pour résoudre cette erreur, demandez à votre administrateur IdP de s’assurer qu’il a configuré l’URL ACS avec la bonne URL : https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST.

Vérifiez vos paramètres de configuration comme suit :

• URL ACS : https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
• Restriction d’audience : https://sso.smartsheet.com/saml
• Validation des certificats : https://redkestrel.co.uk/products/decoder/
• Utilisation de formats pris en charge par la revendication des identifiants persistants et d’adresse e-mail : https://help.smartsheet.com/fr/articles/2476671-saml-assertion-supported-claims