このページの一部は機械翻訳されている場合があります。

SAML SSO エラー: opensaml::BindingException

ご利用可能なユーザー

プラン:

  • Enterprise

症状

SAML SSO error: opensaml::BindingException at (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) Request missing SAMLResponse or TARGET form parameters

このエラーは、SAML を使用して Smartsheet にサインインしようとしたときに発生します。SAML の最初の設定時に頻繫に発生します。

  1. Smartsheet のサインインページに移動します。
  2. 組織/団体アカウント を選択します。

  3. アイデンティティプロバイダー (IdP) の資格情報を入力します。

    IdP はユーザーを Smartsheet にリダイレクトしようとしますが、エラーメッセージが表示されます。 

このエラーは、アサーションの内容が証明書、オーディエンスの制限、NameID/永続的な ID、またはメールアドレス属性など、すべて正しいように見えても発生することがあります。

原因

このエラーは、IdP がユーザーを https://sso.smartsheet.com/Shibboleth.sso/SAML/POST ではなく https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST にリダイレクトしようとする場合に発生します。このリダイレクトは、お客様の IdP に構成された Smartsheet のアサーションコンシューマサービス (ACS) URL に依存します。

Citrix ADC などの一部の ID プロバイダーは、Smartsheet サービスプロバイダーのメタデータ XML から自動的に ACS の URL を解析しようとします: https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml

Smartsheet メタデータ内には、以下の定義を持つ 4 つのアサーションコンシューマサービスバインディングがあります:

  • Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"— SAML2 アサーションに使用されます。これは、99% の構成で SAML 2.0 に使用されるものです。
  • Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign"— SAML 2 用で、HTTP-POST の代替として別の署名メカニズムを使用します。こちらを参照してください: http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html
  • Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS"— SAML 2 の逆 SOAP エンドポイント。
  • Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post"— SAML 1 アサーションの SAML 1 POST エンドポイント。

 

SP メタデータ XML には SAML 1.0 で有効な ACS バインディングが含まれていますが、Smartsheet では SAML 2.0 を使用する必要があります

Citrix ADC の場合、IdP は自動的に SAML 1.0 の誤った ACS バインディングを取得していましたが、Citrix は SAML 2.0 を使用しています。IdP プロバイダーと連携してください。自動 ACS バインディングの選択に誤りがあること、代わりに手動で ACS の URL を定義する必要があることにプロバイダーの注意を喚起してください。

解決方法

このエラーを解決するには、IdP 管理者に正しい URL (https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST) で ACS の URL を構成してもらいます。

以下のように構成の設定を確認します。