Des parties de cette page peuvent avoir été traduites automatiquement.

Identifier les problèmes dans une assertion de SAML

Utilisez les instructions de cet article pour identifier les problèmes potentiels dans votre assertion de SAML.

Qui peut l’utiliser ?

Forfaits :

  • Enterprise

Autorisations :

  • Administrateur système

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

Prérequis

Tout d’abord, vous devrez saisir l’affirmation. En savoir plus.

Étape 1: Nettoyer votre fichier XML (facultatif)

Le fichier d'assertion XML peut apparaître comme un mur de texte, ce qui rend difficile la recherche des éléments que vous recherchez.

  1. Copiez le texte de l'affirmation et allez sur xmlprettyprint.com. Collez la copie dans le champ texte et sélectionnez le bouton Imprimer joli XML . Si xmlprettyprint.com renvoie un écran vide, essayez jsonformatter.org/xml-pretty-print
  2. Enregistrez le fichier. 

Étape 2: Vérifiez que l'affirmation n'est pas chiffrée

Utilisez Ctrl + F (Cmd + F sur un Mac) pour rechercher dans votre fichier:

  • EncryptedAssertion
  • EncryptedData
  • CipherData

Si ces valeurs sont présentes, demandez à l'administrateur IdP de désactiver le chiffrement des assertions pour générer une nouvelle assertion non chiffrée. Le support Smartsheet peut tenter de décrypter le fichier, mais travailler avec vos ressources internes est plus rapide pour générer une nouvelle assertion. 

Étape 3: Analyser l'affirmation

L'affirmation contient tous les éléments détaillés ci-dessous. Valider chaque élément apparaît comme prévu. 

Certificats

  • Les certificats authentifient les informations transmises à Smartsheet. Le processus de connexion ne sera pas terminé si les certificats sont périmés ou ne passent pas.
  • Vérifiez les certificats dans les métadonnées. Plusieurs certificats peuvent exister, et la date d'expiration clé peut ne pas être exacte.

 

Trouver le certificat dans l'assertion
  1. Ouvrez votre fichier d'assertion. 
  2. Utilisez Ctrl + F (Cmd + F sur un Mac) pour rechercher 509Certificat.
  3. Copiez toutes les données après le > et avant la fermeture

 

Vérifier le certificat 
  1. Allez à https://redkestrel.co.uk/products/decoder/
  2. Collez les données du certificat dans le champ texte et sélectionnez le bouton Décoder .
  3. Vérifiez que tous les champs passent.

  4. Vérifiez que le certificat correspond au certificat dans les métadonnées de votre organisation. Demandez à l'administrateur IdP d'exporter les métadonnées de son IdP pour croiser les informations d'assertion.

    Si les certificats ne passent pas la vérification du certificat ou le décodeur, mettez à jour votre certificat ou ajoutez les métadonnées les plus récentes de l'IdP dans Smartsheet. 

 

Réclamations d'attributs

L'affirmation contient une longue liste de revendications ou d'attributs. Smartsheet ne requiert que deux revendications pour l'authentification: la revendication Persistent ID (également connue sous le nom de Name ID) et la revendication Email Address. 

Smartsheet vérifie deux choses: 

  • La réclamation est-elle correctement établie?
  • Est-ce que l'information correcte est passée?

Assurez-vous que les réclamations sont configurées comme indiqué dans cet article du Centre d'aide. 

 

Vérifiez l'ID persistant

Utilisez Ctrl + F (Cmd + F pour Mac) et recherchez "NameID" ou "name=". 

Lors de la première configuration de SAML, les utilisateurs peuvent définir l'élément NameID pour leur revendication Persistent ID. Les formats ci-dessous sont des exemples acceptés. 

  • urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
  • urn:oasis:names:tc:SAML:2.0:nameid­-format:email
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
  • urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
  • urn:oid:1.3.6.1.4.1.5923.1.1.1.10

Voici un exemple d'attribut NameID Persistent ID

user@domaindotcom

Les caractères gras soulignent la partie de la réclamation à vérifier. Si vous utilisez NameID, il devrait correspondre à l'un des exemples ci-dessus. 

L'italique met en évidence les informations que l'IdP transmet à Smartsheet pour authentifier l'utilisateur. Pour l'ID Persistent/name, il n'est pas nécessaire qu'il s'agisse d'une adresse e-mail sur le compte Smartsheet souhaité, mais c'est souvent le cas. 

Un autre choix courant est l'ID utilisateur IdP pour cette personne. Si la section en italique ci-dessus n'inclut pas le courriel de l'utilisateur, notez ceci comme un problème potentiel.  

Lors de la configuration de SAML pour la première fois, les utilisateurs peuvent également choisir de ne pas utiliser l'élément NameID et de nous transmettre un attribut Persistent ID simple.

Un attribut Persistent ID accepté pourrait ressembler à l'exemple ci-dessus (avec l'une de ces six revendications acceptées) ou à l'exemple ci-dessous (avec l'une des cinq revendications acceptées) : 

  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname""
  • name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
  • name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Voici un exemple d'attribut ID persistant :
 

user@domaindotcom

La revendication est mise en forme en gras. Cet attribut est bon à utiliser si cette revendication correspond aux exemples acceptés. Vérifiez le texte en italique pour vous assurer qu'une adresse e-mail sur le compte Smartsheet souhaité est transmise. Si la section en italique ci-dessus n'est pas le courriel, notez ceci comme un problème potentiel.

 

Attribut d'adresse e-mail

Utilisez Ctrl + F (Cmd + F pour Mac) et recherchez "emailaddress" ou "nameFormat". 

L'attribut d'adresse e-mail doit passer une adresse e-mail vérifiée sur le compte Smartsheet et n'acceptera pas les éléments NameID, comme l'attribut Persistent ci-dessus. Il doit également correspondre à l'une des revendications ci-dessous et passer le bon courriel. 

  • name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="Email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
  • name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
  • name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="mail",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic" 

Voici un exemple de ce qui apparaît dans une assertion: 

name="emailaddress"nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">http://www.w3.org/2001/XMLSchema"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">;user@domaindotcom

La revendication est surlignée en vert et bleu. Tant que cette affirmation correspond à nos exemples acceptés, cet attribut est bon à aller. Vérifiez le texte violet pour vous assurer qu'une adresse e-mail sur le compte Smartsheet souhaité est transmise. 

Si l'e-mail de la section italique n'est pas le bon, mettez à jour l'attribut de l'utilisateur dans l'IdP ou ajoutez l'autre e-mail comme adresse e-mail alternative confirmée dans Smartsheet. Vérifiez avec votre administrateur IdP pour déterminer la meilleure voie à suivre.

 

Examinez vos résultats

Une affirmation doit satisfaire aux exigences suivantes : 

  1. Le certificat passe et correspond au certificat dans les métadonnées org.

  2. L'attribut Persistent ID/NameID correspond à l'un des exemples et transmet une adresse e-mail du compte Smartsheet souhaité.

    Parfois, cette réclamation passera une autre valeur, ce qui peut être très bien. Confirmez que la valeur transmise est destinée. S'il n'y a pas d'autres problèmes, essayez plutôt de transmettre un courriel vérifié (sur le compte Smartsheet) pour cette réclamation. 

  3. L'attribut adresse e-mail correspond à un exemple de réclamation et transmet une adresse e-mail du compte Smartsheet souhaité.