Identifique problemas em uma afirmação SAML

Pré-requisitos

Primeiro, você precisará capturar a afirmação. Saiba como.

Etapa 1: Limpe seu arquivo XML (opcional)

O arquivo de asserção XML pode aparecer como uma parede de texto, dificultando a localização dos elementos que você está procurando.

1. Copie o texto da afirmação e vá para xmlprettyprint.com. Cole a cópia no campo de texto e selecione o botão Pretty Print XML. Se xmlprettyprint.com retornar uma tela em branco, tente jsonformatter.org/xml-pretty-print. 
2. Salve o arquivo. 

Etapa 2: verifique se a afirmação não está criptografada

Use Ctrl + F (Cmd + F no Mac) para pesquisar no seu arquivo:

• EncryptedAssertion
• EncryptedData
• CipherData

Se esses valores estiverem presentes, faça com que o administrador do IdP desative a criptografia de asserção para gerar uma nova asserção não criptografada. Smartsheet pode tentar descriptografar o arquivo, mas trabalhar com seus recursos internos é mais rápido para gerar uma nova afirmação. 

Etapa 3: Analise a afirmação

A assertiva contém todos os itens detalhados abaixo. Valide se cada item aparece como esperado. 

CERTIFICADOS

• Os certificados autenticam as informações passadas ao Smartsheet. O processo de login não será concluído se os certificados estiverem desatualizados ou não forem aprovados.
• Verifique os certificados nos metadados. Podem existir vários certificados e a data de validade da chave pode não ser precisa.

Encontre o certificado na afirmação

1. Abra seu arquivo de asserção. 
2. Use Ctrl + F (Cmd + F no Mac) para procurar 509Certificate.
3. Copie todos os dados após o > e antes do fechamento

Verifique o(s) certificado(s).

1. Acesse https://redkestrel.co.uk/products/decoder/
2. Cole os dados do certificado no campo de texto e selecione o botão Decodificar.
3. Verifique se todos os campos estão passando.

4. Verifique se o certificado corresponde ao certificado nos metadados da sua organização. Peça ao administrador do IdP para exportar os metadados de seu IdP para fazer referência cruzada às informações da afirmação.

   Se os certificados não passarem na verificação de certificado ou no decodificador, atualize seu certificado ou adicione os metadados mais recentes do IdP ao Smartsheet. 

Reivindicações de atributos

A afirmação contém uma longa lista de reivindicações ou atributos. Smartsheet requer apenas duas declarações para autenticação: a declaração de ID persistente (também conhecida como ID de nome) e a declaração de endereço de e-mail. 

Smartsheet verifica duas coisas: 

• O sinistro está configurado corretamente?
• As informações corretas são passadas?

Certifique-se de que todas as reivindicações estejam configuradas conforme mostrado neste artigo da Central de Ajuda. 

Verifique o ID persistente

Use Ctrl + F (Cmd + F para Mac) e procure por "NameID" ou "name=". 

Ao configurar o SAML pela primeira vez, os usuários podem definir o elemento NameID para sua reivindicação de ID persistente. Os formatos abaixo são exemplos aceitos. 

• urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
• urn:oasis:names:tc:SAML:2.0:nameid­-format:email
• urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
• urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
• urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
• urn:oid:1.3.6.1.4.1.5923.1.1.1.10 

Aqui está um exemplo de um atributo NameID Persistent ID: 

user@domaindotcom

O negrito destaca a parte da reivindicação a ser verificada. Se você usar NameID, ele deve corresponder a um dos exemplos acima. 

O itálico destaca as informações que o IdP passa para o Smartsheet para autenticar o usuário. Para o ID persistente/nome, ele não precisa ser um endereço de e-mail na conta desejada Smartsheet, mas geralmente é. 

Outra opção comum é o ID de usuário IdP dessa pessoa. Se a seção em itálico acima não incluir o e-mail do usuário, observe isso como um possível problema.  

Ao configurar o SAML pela primeira vez, os usuários também podem optar por não usar o elemento NameID e, em vez disso, nos passar um atributo de ID persistente direto.

Um atributo ID persistente aceito pode se parecer com o exemplo acima (com uma dessas seis reivindicações aceitas) ou com o exemplo abaixo (com uma das cinco reivindicações aceitas): 

• name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
• name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"
• name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
• name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
• name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Aqui está um exemplo de um atributo de ID persistente:
 

user@ domaindotcom

A reivindicação está formatada em negrito. Este atributo é válido se esta afirmação corresponder aos exemplos aceitos. Verifique o texto em itálico para garantir que um endereço de e-mail na conta Smartsheet desejada seja passado. Se a seção em itálico acima não for o e-mail, observe isso como um possível problema.

Atributo de endereço de e-mail

Use Ctrl + F (Cmd + F para Mac) e procure por "emailaddress" ou "nameFormat". 

O atributo de endereço de e-mail deve passar um endereço de e-mail verificado na conta Smartsheet e não aceitará elementos NameID, como o atributo Persistente acima. Ela também deve corresponder a uma das afirmações abaixo e passar o e-mail correto. 

• name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
• name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
• name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
• name="Email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
• name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
• name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
• name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
• name="emailaddress",nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
• name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
• name="mail",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic" 

Aqui está um exemplo de como isso aparece em uma afirmação: 

name="emailaddress"nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">http://www.w3.org/2001/XMLSchema"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">;user@domaindotcom

O sinistro é destacado em verde e azul. Desde que essa afirmação corresponda aos nossos exemplos aceitos, esse atributo está pronto. Verifique o texto roxo para garantir que um endereço de e-mail na conta desejada Smartsheet seja passado. 

Se o e-mail na seção em itálico não for o correto, atualize o atributo do usuário no IdP ou adicione o outro e-mail como um endereço de e-mail alternativo confirmado no Smartsheet. Verifique com o administrador do IdP para determinar o melhor caminho a seguir.

Revise suas descobertas

Uma afirmação deve atender aos seguintes requisitos: 

1. O certificado passa e corresponde ao certificado nos metadados da organização.

2. O atributo Persistent ID/NameID corresponde a um dos exemplos e passa um endereço de e-mail da conta desejada Smartsheet.

   Às vezes, essa reivindicação passará outro valor, o que pode ser bom. Confirme se o valor que está sendo passado é pretendido. Se não houver outros problemas, tente passar um e-mail verificado (na conta Smartsheet) para essa reivindicação. 

3. O atributo de endereço de e-mail corresponde a um exemplo de declaração e passa um endereço de e-mail da conta desejada Smartsheet.