Applica a
- Enterprise
Errore SSO SAML: opensaml::BindingException
Who can use this?
Plans:
- Enterprise
Sintomo
Errore SSO SAML: opensaml::BindingException at (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) La richiesta non contiene i parametri SAMLResponse o modulo TARGET
Questo errore si verifica quando tenti di accedere a Smartsheet con SAML. Appare spesso durante la configurazione iniziale di SAML.
- Vai alla pagina di accesso Smartsheet.
- Seleziona Account aziendale.
Inserisci le credenziali IdP
L'IdP tenta di reindirizzare l'utente a Smartsheet ma viene visualizzato il messaggio di errore.
Questo errore può verificarsi anche se tutto nell'asserzione sembra essere corretto (certificato, restrizioni pubblico, ID nome/ID persistente, attributo dell'indirizzo e-mail).
Causa
Questo errore si verifica se l'IdP tenta di reindirizzare l'utente a https://sso.smartsheet.com/Shibboleth.sso/SAML/POST invece che a https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST. Questo reindirizzamento dipende dall'URL dell'Assertion Consumer Service (ACS) configurato per Smartsheet nell'IdP del cliente.
Alcuni Identity Provider, come Citrix ADC, tentano automaticamente di analizzare l'URL dell'ACS dall'XML dei metadati del fornitore del servizio Smartsheet qui: https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml
All'interno dei metadati Smartsheet, ci sono quattro binding AssertionConsumerService con le seguenti definizioni:
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" | Used for SAML2 assertions (this is the one that is used by SAML 2.0 in 99% of configurations) Questo è quello utilizzato da SAML 2.0 nel 99% delle configurazioni.
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" | Used for SAML 2 alternative to HTTP-POST with an alternate signing mechanism (See here http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html) Vedi qui: http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html)
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" | Reverse SOAP endpoint for SAML 2
- Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" | Endpoint POST SAML 1 per asserzioni SAML 1
Anche se l'XML dei metadati SP contiene binding ACS validi per SAML 1.0, Smartsheet richiede l'uso di SAML 2.0
Nel caso di ADC Citrix, l'IdP ha preso automaticamente il binding ACS errato per SAML 1.0, anche se Citrix usa SAML 2.0. Rivolgiti all'IdP. Avvisalo che la selezione automatica del binding ACS è errata e che è necessario definire invece manualmente l'URL dell'ACS.
Soluzione
Per risolvere tale errore, l'amministratore IdP deve verificare di aver configurato l'URL dell'ACS con l'URL corretto: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
Controlla le impostazioni di configurazione come segue:
- URL ACS: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
- Limitazioni pubblico: https://sso.smartsheet.com/saml
- Convalida i certificati: https://redkestrel.co.uk/products/decoder/
- I claim ID persistente e Indirizzo e-mail usano formati supportati? https://help.smartsheet.com/articles/2476671-saml-assertion-supported-claims