Errore SSO SAML: opensaml::BindingException

Sintomo

Errore SSO SAML: opensaml::BindingException at (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) La richiesta non contiene i parametri SAMLResponse o modulo TARGET

Questo errore si verifica quando si tenta di accedere a Smartsheet con SAML. Appare spesso durante la configurazione iniziale di SAML.

1. Andate alla pagina di accesso a Smartsheet.
2. Selezionare l'account aziendale.

3. Inserire le credenziali dell'Identity Provider (IdP).

   L'IdP tenta di reindirizzare l'utente a Smartsheet, ma viene visualizzato un messaggio di errore. 

Questo errore può verificarsi anche se tutte le informazioni contenute nell'asserzione sembrano corrette, come ad esempio il certificato, la restrizione di pubblico, l'ID nome/persistente o l'indirizzo e-mail.

Causa

Questo errore si verifica se l'IdP cerca di reindirizzare l'utente a https://sso.smartsheet.com/Shibboleth.sso/SAML/POST invece che a https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST. Questo reindirizzamento dipende dall'URL di Assertion Consumer Service (ACS) configurato per Smartsheet nell'IdP del cliente.

Alcuni identity provider, come Citrix ADC, tentano di analizzare automaticamente l'URL ACS dal Service Provider Metadata XML di Smartsheet: https: //www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml

Nei metadati di Smartsheet sono presenti quattro Assertion Consumer Service Bindings con le seguenti definizioni:

• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"-Utilizzato per le asserzioni SAML2. È quello utilizzato da SAML 2.0 nel 99% delle configurazioni.
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign"-Utilizzato per SAML 2, un'alternativa a HTTP-POST con un meccanismo di firma alternativo. Vedere qui: http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS"-Endpoint SOAP inverso per SAML 2.
• Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post"-Endpoint SAML 1 POST per le asserzioni SAML 1.

Anche se l'XML dei metadati SP contiene binding ACS validi per SAML 1.0, Smartsheet richiede l'uso di SAML 2.0

Nel caso di Citrix ADC, l'IdP acquisiva automaticamente l'ACS Binding non corretto per SAML 1.0, anche se Citrix utilizza SAML 2.0. Collaborate con il vostro provider IdP. Avvisare che la selezione automatica di ACS Binding non è corretta e che è necessario definire manualmente l'URL ACS.

Risoluzione

Per risolvere questo errore, chiedere all'amministratore dell'IdP di assicurarsi di aver configurato l'URL ACS con l'URL corretto: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST

Verificare le impostazioni di configurazione come segue:

• URL ACS: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
• Limitazione del pubblico: https://sso.smartsheet.com/saml
• Convalidare i certificati: https://redkestrel.co.uk/products/decoder/
• L'indicazione dell'ID persistente e dell'indirizzo e-mail utilizza i formati supportati: https://help.smartsheet.com/articles/2476671-saml-assertion-supported-claims