このページの一部は機械翻訳されている場合があります。

適用対象

Smartsheet
  • Enterprise

各種プラン タイプと利用可能な機能の詳細については、「Smartsheet プラン」ページ (https://jp.smartsheet.com/pricing) をご覧ください。

機能

この機能を使用できるユーザー

  • システム管理者

この機能が Smartsheet リージョン (/ja/regions-capability-differences) または Smartsheet Gov (/articles/2480681-differences-between-smartsheet-gov-and-commercial) に含まれているかどうかをご確認ください。

SAMLアサーションの問題を特定する

この記事の手順を使用して、 SAMLアサーションの潜在的な問題を特定します。

ご利用可能なユーザー

プラン:

  • Enterprise

権限:

  • システム管理者

この機能が Smartsheet リージョンまたは Smartsheet Gov に含まれているかどうかを確認してください。

前提条件

まず、アサーションをキャプチャする必要があります。編集方法の詳細をご確認ください

ステップ 1: XML ファイルをクリーンアップする (オプション)

XML アサーション ファイルはテキストの壁のように見える場合があり、探している要素を見つけるのが難しくなります。

  1. アサーションのテキストをコピーして、 xmlprettyprint.com 。コピーをテキストフィールドに貼り付けて、きれいな印刷 XMLボタン。もしxmlprettyprint.com空白の画面が返されます。 jsonformatter.org/xml-pretty-print 。 
  2. ファイルを保存します。 

ステップ2: アサーションが暗号化されていないことを確認する

Ctrl + F (Cmd + F ファイルを検索するには、Mac の場合:

  • 暗号化されたアサーション
  • 暗号化されたデータ
  • 暗号データ

これらの値が存在する場合は、 IdP管理者にアサーションの暗号化を無効にしてもらい、暗号化されていない新しいアサーションを生成してもらいます。Smartsheetサポートはファイルの暗号化解除を試みることができますが、社内のリソースを使用して新しいアサーションを生成する方が高速です。 

ステップ3: 主張を分析する

主張には、以下に詳述するすべての項目が含まれます。各項目が期待どおりに表示されることを確認します。 

証明書

  • 証明書はSmartsheetに渡される情報を認証します。証明書が古いか不合格の場合、ログインプロセスは完了しません。
  • メタデータ内の証明書を確認します。複数の証明書が存在する可能性があり、キーの有効期限が正確でない可能性があります。

 

アサーション内の証明書を見つける
  1. アサーション ファイルを開きます。 
  2. Ctrl + F (Cmd + F Macの場合509証明書
  3. すべてのデータをコピーします>そして閉会前に

 

証明書を確認する
  1. へ移動https://redkestrel.co.uk/products/decoder/
  2. 証明書データをテキストフィールドに貼り付けて、デコードボタン。
  3. すべてのフィールドが合格していることを確認します。

  4. 証明書が組織のメタデータ内の証明書と一致していることを確認します。アサーション情報を相互参照するために、 IdP管理者にIdPからメタデータをエクスポートするよう依頼します。

    証明書が証明書チェックまたはデコーダーに合格しない場合は、証明書を更新するまたは、 IdPからの最新のメタデータをSmartsheetに追加します。 

 

属性クレーム

アサーションには、クレームまたは属性の長いリストが含まれています。Smartsheet、認証に永続 ID (名前 ID とも呼ばれます) クレームと電子メール アドレス クレームの 2 つのクレームのみが必要です。 

Smartsheet は次の 2 つの点をチェックします。

  • クレームは正しく設定されていますか?
  • 正しい情報が渡されていますか?

クレームが次のように設定されていることを確認してください。このヘルプ センターの記事。 

 

永続IDを確認する

Ctrl + F (Mac の場合は Cmd + F) を使用して、「NameID」または「name=」を検索します。 

SAML を初めて設定する場合、ユーザーは永続 ID クレームの NameID 要素を設定できます。以下の形式は受け入れられる例です。 

  • urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
  • urn:oasis:names:tc:SAML:2.0:nameid­-format:email
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
  • urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
  • urn:oid:1.3.6.1.4.1.5923.1.1.1.10 

これは例ですNameID 永続ID属性:

ユーザー@domaindotcom

太字は、確認すべきクレームの部分を強調表示します。NameID を使用する場合は、上記の例のいずれかと一致する必要があります。 

斜体で強調表示されているのは、 IdP がユーザーを認証するためにSmartsheetに渡す情報です。永続的/名前 ID の場合、これは目的のSmartsheetアカウントの電子メール アドレスである必要はありませんが、多くの場合はそうなります。 

もう 1 つの一般的な選択肢は、その人物のIdPユーザー ID です。上記の斜体部分にユーザーのメールが含まれていない場合は、潜在的な問題として注意してください。  

SAML を初めて設定する場合、ユーザーは NameID 要素を使用せず、代わりに単純な永続 ID 属性を渡すこともできます。

承認された永続 ID 属性は、上記の例 (承認された 6 つのクレームのうちの 1 つを使用) または以下の例 (承認された 5 つのクレームのうちの 1 つを使用) のようになります。

  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname""
  • name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
  • name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

これは例です永続ID属性:

ユーザー@domaindotcom

クレームは太字でフォーマットされます。このクレームが受け入れられた例と一致する場合、この属性は問題ありません。斜体のテキストをチェックして、目的のSmartsheetアカウントの電子メール アドレスが渡されていることを確認します。上記の斜体部分が電子メールではない場合は、潜在的な問題として注意してください。

 

メールアドレス属性

Ctrl + F (Mac の場合は Cmd + F) を使用して、「emailaddress」または「nameFormat」を検索します。 

電子メール アドレス属性は、 Smartsheetアカウントで検証済みの電子メール アドレスを渡す必要があり、上記の Persistent 属性のような NameID 要素は受け入れません。また、以下のいずれかのクレームに一致し、正しい電子メールを渡す必要があります。 

  • name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
  • name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
  • name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="mail",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic" 

これがアサーションにどのように表示されるかの例を次に示します。

name="メールアドレス"nameFormat=" http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress > http://www.w3.org/2001/XMLSchema"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> ;ユーザー@domaindotcom

クレームは緑と青で強調表示されます。この主張が弊社の承認済み例と一致する限り、この属性は問題ありません。紫色のテキストをチェックして、目的のSmartsheetアカウントの電子メール アドレスが渡されていることを確認します。 

斜体部分のメールアドレスが正しくない場合は、 IdPのユーザー属性を更新するか、他のメールアドレスを確認済みの代替メールアドレスとして追加するSmartsheetで。最善の対応方法については、 IdP管理者に確認してください。

 

調査結果を確認する

アサーションは次の要件を満たす必要があります。

  1. 証明書は合格し、組織メタデータ内の証明書と一致します。

  2. 永続 ID/NameID 属性は例の 1 つと一致し、目的のSmartsheetアカウントから電子メール アドレスを渡します。

    場合によっては、このクレームは別の値を渡すことがありますが、これは問題ありません。渡される値が意図したものであることを確認します。他に問題がない場合は、代わりにその請求に対して確認済みの電子メール ( Smartsheetアカウント上) を渡してみてください。 

  3. 電子メール アドレス属性はクレーム例と一致し、目的のSmartsheetアカウントから電子メール アドレスを渡します。 

関連コンテンツ

この記事はお役に立ちましたか?
はいいいえ