Erro de SSO do SAML: opensaml::BindingException

Sintoma

Erro de SSO do SAML: opensaml::BindingException em (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) Solicitação sem os parâmetros de formulário SAMLResponse ou TARGET

Esse erro ocorre ao tentar entrar no Smartsheet com SAML. Geralmente, ele aparece durante a configuração inicial do SAML.

1. Acesse a página de login do Smartsheet.
2. Selecione a conta da sua empresa.

3. Insira suas credenciais do provedor de identidade (IdP).

   O IdP tenta redirecionar o usuário para o Smartsheet, mas a mensagem de erro aparece. 

Esse erro pode ocorrer mesmo que tudo na afirmação pareça estar correto, como o atributo Certificado, Restrição de público, ID de nome/ID persistente ou endereço de e-mail.

Causa

Esse erro ocorre se o IdP tentar redirecionar o usuário para https://sso.smartsheet.com/Shibboleth.sso/SAML/POST em vez de https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST. Esse redirecionamento depende da URL do Assertion Consumer Service (ACS) configurada para o Smartsheet no IdP do cliente.

Alguns provedores de identidade, como o Citrix ADC, tentam analisar automaticamente a URL do ACS a partir do XML de metadados do provedor de serviços do Smartsheet aqui: https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml

Nos metadados do Smartsheet, existem quatro Assertion Consumer Service Bindings com as seguintes definições:

• binding="urn:oasis:names:tc:saml:2.0:bindings:http-post” — Usado para asserções SAML2. Esse é o que é usado pelo SAML 2.0 em 99% das configurações.
• binding="urn:oasis:names:tc:SAML:2.0:bindings:http-post-simplesign” — Usado para SAML 2, uma alternativa ao HTTP-POST com um mecanismo de assinatura alternativo. Veja aqui: http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html
• binding="urn:oasis:names:tc:saml:2.0:bindings:paos” — Ponto final SOAP reverso para SAML 2.
• binding="urn:oasis:names:tc:saml:1.0:profiles:browser-post” — endpoint POST SAML 1 para asserções SAML 1.

Embora o XML de metadados de SP contenha vinculações de ACS válidas para o SAML 1.0, o Smartsheet exige o uso do SAML 2.0.

No caso do Citrix ADC, o IdP estava automaticamente capturando a vinculação incorreta do ACS para SAML 1.0, embora a Citrix use SAML 2.0. Trabalhe com seu provedor de IdP. Alerte-os de que a seleção automática do ACS Binding está incorreta e que, em vez disso, eles precisariam definir manualmente o URL do ACS.

Resolução

Para resolver esse erro, peça ao administrador do IdP que verifique se ele configurou a URL do ACS com a URL correta: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST

Verifique suas configurações da seguinte forma:

• URL do ACS: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
• Restrição de público: https://sso.smartsheet.com/saml
• Valide seus certificados: https://redkestrel.co.uk/products/decoder/
• A reivindicação de ID persistente e endereço de e-mail usa os formatos suportados: https://help.smartsheet.com/articles/2476671-saml-assertion-supported-claims