Erro de SSO do SAML: opensaml::BindingException

Sintoma

Erro de SSO do SAML: opensaml::BindingException em (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) Solicitação sem os parâmetros de formulário SAMLResponse ou TARGET

Este erro ocorre quando você tentar fazer login no Smartsheet com o SAML. Geralmente, ele aparece durante a configuração inicial do SAML.

1. Vá para a página de login do Smartsheet.
2. Selecione Sua conta corporativa.

3. Insira as credenciais do IdP

   O IdP tenta redirecionar o usuário para o Smartsheet, mas a mensagem de erro é exibida. 

Este erro pode ocorrer mesmo se tudo na asserção parecer estar correto (certificado, restrição de público, atributos de endereço de e-mail, NameID/Persistent ID).

Causa

Este erro ocorre se o IdP tenta redirecionar o usuário para https://sso.smartsheet.com/Shibboleth.sso/SAML/POST em vez de https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST. Este redirecionamento depende da URL do Serviço de consumidor de asserção (ACS) que é configurado para o Smartsheet no IdP do consumidor.

Alguns provedores de identidade, como Citrix ADC, tentarão analisar automaticamente a URL de ACS a partir do XML de metadados do provedor de serviços do Smartsheet aqui: https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml

Dentro dos metadados do Smartsheet, existem quatro vinculações de ACS com as definições a seguir:

• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" | Usado para asserções de SAML 2 (é usada pelo SAML 2.0 em 99% das configurações) Este é o que é usado pelo SAML 2.0 em 99% das configurações.
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" | Usado para SAML 2 como alternativa ao HTTP-POST com um mecanismo de assinatura alternado (Consulte aqui http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html)  Veja aqui: http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html) 
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" | Ponto de extremidade SOAP reverso para SAML 2
• Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" | Ponto de extremidade POST de SAML 1 para asserções de SAML 1

Embora o XML de metadados de SP contenha vinculações de ACS válidas para o SAML 1.0, o Smartsheet exige o uso do SAML 2.0.

No caso do Citrix ADC, o IdP estava pegando automaticamente a vinculação incorreta de ACS para SAML 1.0, embora o Citrix use SAML 2.0. Trabalhe com o seu provedor de IdP. Avise-o de que a seleção automática de vinculação de ACS está incorreta e que ele precisaria definir manualmente a URL de ACS.

Resolução

Para resolver este erro, peça que seu administrador de IdP garanta que a URL de ACS foi configurada com a URL correta: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST

Verifique suas definições de configuração conforme o seguinte:

• URL de ACS: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
• Restrição de público: https://sso.smartsheet.com/saml
• Valide seus certificados: https://redkestrel.co.uk/products/decoder/
• A declaração de ID persistente e endereço de e-mail usa os formatos suportados? https://help.smartsheet.com/articles/2476671-saml-assertion-supported-claims