適用対象
- Enterprise
SAML SSO エラー: opensaml::BindingException
Who can use this?
Plans:
- Enterprise
症状
SAML SSO error: opensaml::BindingException at (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) Request missing SAMLResponse or TARGET form parameters
このエラーは、SAML で Smartsheet にログインしようとすると発生します。SAML の最初の設定時に頻繫に発生します。
- Smartsheet ログイン ページにアクセスします。
- [組織/団体アカウント] を選択します。
IdP 資格情報を入力します。
IdP はユーザーを Smartsheet にリダイレクトしようとしますが、エラー メッセージが表示されます。
このエラーは、アサーションの内容がすべて正しいように見えても発生することがあります (証明書、オーディエンスの制限、NameID/永続的な ID、メール アドレス属性)。
原因
このエラーは、IdP がユーザーを https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST ではなく https://sso.smartsheet.com/Shibboleth.sso/SAML/POST にリダイレクトしようとする場合に発生します。このリダイレクトは、お客様の IdP の Smartsheet で構成されているアサーション コンシューマー サービス (ACS) の URL によって決まります。
Citrix ADC などの一部の ID プロバイダーは、Smartsheet サービス プロバイダー メタデータ XML (https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml) から自動的に ACS の URL を解析しようとします。
Smartsheet メタデータ内には、以下の定義を持つ 4 つの AssertionConsumerService バインディングがあります。
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" | SAML2 アサーションで使用 (これは 99% の構成で SAML 2.0 によって使用されるバインディングです) これは、構成の 99% でSAML 2.0 で使用されているものです。
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" | HTTP-POST と代替署名機構の代わりに SAML 2 で使用 (http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html をご覧ください) こちらをご覧ください: http://docs.oasis-Open.org/security/saml/Post2.0/sstc-saml-billing-simplesign-業界で最も重要な役割)
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" | SAML 2 の反転 SOAP エンドポイント
- Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" | SAML 1 アサーションの SAML 1 POST エンドポイント
SP メタデータ XML には SAML 1.0 で有効な ACS バインディングが含まれていますが、Smartsheet では SAML 2.0 を使用する必要があります
Citrix ADC の場合、Citrix では SAML 2.0 を使用しますが、IdP は自動的に SAML 1.0 で誤った ACS バインディングを取得していました。IdP プロバイダーと協力してください。自動 ACS バインディングの選択に誤りがあること、代わりに手動で ACS の URL を定義する必要があることにプロバイダーの注意を喚起してください。
解決方法
このエラーを解決するには、IdP 管理者に正しい URL (https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST) で ACS の URL を構成してもらいます。
以下のように構成の設定を確認します。
- ACS の URL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
- オーディエンスの制限: https://sso.smartsheet.com/saml
- 証明書の検証: https://redkestrel.co.uk/products/decoder/
- 永続的な ID と電子メール アドレスのクレームで、サポートされている形式を使用していますか?https://help.smartsheet.com/articles/2476671-saml-assertion-supported-claims