Aplica-se a
- Enterprise
Erro de SSO do SAML: opensaml::BindingException
Quem pode usar isso?
Planos:
- Enterprise
Sintoma
Erro de SSO do SAML: opensaml::BindingException em (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) Solicitação sem os parâmetros de formulário SAMLResponse ou TARGET
Este erro ocorre quando você tentar fazer login no Smartsheet com o SAML. Geralmente, ele aparece durante a configuração inicial do SAML.
- Vá para a página de login do Smartsheet.
- Selecione Sua conta corporativa.
Insira as credenciais do IdP
O IdP tenta redirecionar o usuário para o Smartsheet, mas a mensagem de erro é exibida.
Este erro pode ocorrer mesmo se tudo na asserção parecer estar correto (certificado, restrição de público, atributos de endereço de e-mail, NameID/Persistent ID).
Causa
Este erro ocorre se o IdP tenta redirecionar o usuário para https://sso.smartsheet.com/Shibboleth.sso/SAML/POST em vez de https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST. Este redirecionamento depende da URL do Serviço de consumidor de asserção (ACS) que é configurado para o Smartsheet no IdP do consumidor.
Alguns provedores de identidade, como Citrix ADC, tentarão analisar automaticamente a URL de ACS a partir do XML de metadados do provedor de serviços do Smartsheet aqui: https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml
Dentro dos metadados do Smartsheet, existem quatro vinculações de ACS com as definições a seguir:
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" | Usado para asserções de SAML 2 (é usada pelo SAML 2.0 em 99% das configurações) Este é o que é usado pelo SAML 2.0 em 99% das configurações.
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" | Usado para SAML 2 como alternativa ao HTTP-POST com um mecanismo de assinatura alternado (Consulte aqui http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html) Veja aqui: http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html)
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" | Ponto de extremidade SOAP reverso para SAML 2
- Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" | Ponto de extremidade POST de SAML 1 para asserções de SAML 1
Embora o XML de metadados de SP contenha vinculações de ACS válidas para o SAML 1.0, o Smartsheet exige o uso do SAML 2.0.
No caso do Citrix ADC, o IdP estava pegando automaticamente a vinculação incorreta de ACS para SAML 1.0, embora o Citrix use SAML 2.0. Trabalhe com o seu provedor de IdP. Avise-o de que a seleção automática de vinculação de ACS está incorreta e que ele precisaria definir manualmente a URL de ACS.
Resolução
Para resolver este erro, peça que seu administrador de IdP garanta que a URL de ACS foi configurada com a URL correta: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
Verifique suas definições de configuração conforme o seguinte:
- URL de ACS: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
- Restrição de público: https://sso.smartsheet.com/saml
- Valide seus certificados: https://redkestrel.co.uk/products/decoder/
- A declaração de ID persistente e endereço de e-mail usa os formatos suportados? https://help.smartsheet.com/articles/2476671-saml-assertion-supported-claims