Identificare i problemi in un'asserzione SAML

Prerequisiti

Per prima cosa, è necessario acquisire l'asserzione. Scopri come.

Passo 1: ripulire il file XML (facoltativo)

Il file di asserzione XML può apparire come un muro di testo, rendendo difficile trovare gli elementi che si stanno cercando.

1. Copiate il testo dell'affermazione e andate su xmlprettyprint.com. Incollare la copia nel campo di testo e selezionare il pulsante Pretty Print XML. Se xmlprettyprint.com restituisce una schermata vuota, provare jsonformatter.org/xml-pretty-print. 
2. Salva il file. 

Passo 2: verificare che l'asserzione non sia criptata

Utilizzare Ctrl + F (Cmd + F su Mac) per cercare il file:

• EncryptedAssertion
• EncryptedData
• CipherData

Se questi valori sono presenti, chiedere all'amministratore dell'IdP di disabilitare la crittografia dell'asserzione per generare una nuova asserzione non crittografata. L'assistenza Smartsheet può tentare di decifrare il file, ma lavorando con le risorse interne è più veloce generare una nuova asserzione. 

Fase 3: analizzare l'asserzione

L'asserzione contiene tutti gli elementi descritti di seguito. Convalidare che ogni elemento appaia come previsto. 

Certificati

• I certificati autenticano le informazioni trasmesse a Smartsheet. Il processo di login non verrà completato se i certificati sono obsoleti o non vengono superati.
• Controllare i certificati nei metadati. Potrebbero esistere più certificati e la data di scadenza della chiave potrebbe non essere precisa.

Trovare il certificato nell'asserzione

1. Aprire il file di asserzione. 
2. Utilizzare Ctrl + F (Cmd + F su Mac) per cercare 509Certificate.
3. Copiate tutti i dati dopo il > e prima del di chiusura.

Controllare il certificato 

1. Vai a https://redkestrel.co.uk/products/decoder/
2. Incollare i dati del certificato nel campo di testo e selezionare il pulsante Decodifica.
3. Verificare che tutti i campi siano stati superati.

4. Verificare che il certificato corrisponda a quello presente nei metadati dell'organizzazione. Chiedere all'amministratore dell'IdP di esportare i metadati dal proprio IdP per incrociare le informazioni sull'asserzione.

   Se i certificati non superano il controllo dei certificati o il decodificatore, aggiornate il vostro certificato o aggiungete i metadati più recenti dell'IdP in Smartsheet. 

Rivendicazioni di attributi

L'asserzione contiene un lungo elenco di affermazioni o attributi. Smartsheet richiede solo due richieste per l'autenticazione: la richiesta di ID persistente (noto anche come ID nome) e la richiesta di indirizzo e-mail. 

Smartsheet controlla due cose: 

• La richiesta di risarcimento è impostata correttamente?
• Le informazioni trasmesse sono corrette?

Assicurarsi che le richieste di risarcimento siano impostate come indicato in questo articolo del Centro assistenza. 

Controllare l'ID persistente

Utilizzare Ctrl + F (Cmd + F per Mac) e cercare "NameID" o "name=". 

Quando si configura SAML per la prima volta, gli utenti possono impostare l'elemento NameID per la loro richiesta di ID persistente. I formati riportati di seguito sono esempi accettati. 

• urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
• urn:oasis:names:tc:SAML:2.0:nameid­-format:email
• urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
• urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
• urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
• urn:oid:1.3.6.1.4.1.5923.1.1.1.10

Ecco un esempio di attributo ID persistente NameID: 

utente@domaindotcom:NameID>.

Il grassetto evidenzia la parte della richiesta da controllare. Se si usa NameID, dovrebbe corrispondere a uno degli esempi precedenti. 

Il corsivo evidenzia le informazioni che l'IdP passa a Smartsheet per autenticare l'utente. Per l'ID persistente/nome, non deve essere necessariamente un indirizzo e-mail dell'account Smartsheet desiderato, ma spesso è così. 

Un'altra scelta comune è l'ID utente dell'IdP per quella persona. Se la sezione in corsivo di cui sopra non include l'e-mail dell'utente, è un potenziale problema.  

Quando si configura SAML per la prima volta, gli utenti possono anche scegliere di non utilizzare l'elemento NameID e di passare invece un semplice attributo Persistent ID.

Un attributo ID persistente accettato potrebbe apparire come nell'esempio precedente (con una delle sei richieste accettate) o come nell'esempio seguente (con una delle cinque richieste accettate): 

• name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
• name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname""
• name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
• name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
• name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Ecco un esempio di attributo ID persistente:
 

user@domaindotcom:AttributeValue>

L'affermazione è formattata in grassetto. Questo attributo è valido se l'affermazione corrisponde agli esempi accettati. Controllare il testo in corsivo per assicurarsi che venga passato un indirizzo e-mail sull'account Smartsheet desiderato. Se la sezione in corsivo di cui sopra non è l'e-mail, è un potenziale problema.

Attributo dell'indirizzo e-mail

Utilizzare Ctrl + F (Cmd + F per Mac) e cercare "emailaddress" o "nameFormat". 

L'attributo Indirizzo e-mail deve passare un indirizzo e-mail verificato sull'account Smartsheet e non accetta elementi NameID, come l'attributo Persistent di cui sopra. Deve inoltre corrispondere a una delle affermazioni riportate di seguito e passare l'e-mail giusta. 

• name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
• name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
• name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
• name="Email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
• name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
• name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
• name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
• name="indirizzo e-mail",nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"".
• name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
• name="mail",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic" 

Ecco un esempio di come questo appare in un'asserzione: 

name="emailaddress "nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">:AttributeValue xsi:type="xs:string" xmlns:xs="http://www.w3.org/2001/XMLSchema"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">;user@domaindotcom:AttributeValue>.

Il reclamo è evidenziato in verde e blu. Finché questa affermazione corrisponde agli esempi accettati, l'attributo è valido. Controllare il testo viola per assicurarsi che venga passato un indirizzo e-mail sull'account Smartsheet desiderato. 

Se l'e-mail nella sezione in corsivo non è quella giusta, aggiornare l'attributo dell'utente nell'IdP o aggiungere l'altra e-mail come indirizzo e-mail alternativo confermato in Smartsheet. Verificate con l'amministratore dell'IdP per determinare il percorso migliore da seguire.

Esaminare i risultati

Un'asserzione deve soddisfare i seguenti requisiti: 

1. Il certificato passa e corrisponde al certificato nei metadati dell'org.

2. L'attributo Persistent ID/NameID corrisponde a uno degli esempi e passa un indirizzo e-mail dell'account Smartsheet desiderato.

   A volte, questa richiesta passerà un altro valore, il che può andare bene. Confermare che il valore passato è quello desiderato. Se non ci sono altri problemi, provare a passare un'e-mail verificata (sull'account Smartsheet) per quella richiesta. 

3. L'attributo indirizzo e-mail corrisponde a un esempio di richiesta e passa un indirizzo e-mail dell'account Smartsheet desiderato.