Применить к
- Enterprise
Ошибка единого входа с помощью SAML: opensaml::BindingException
Доступно для:
Планы:
- Enterprise
Описание
Ошибка единого входа с помощью SAML: opensaml::BindingException по адресу (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) В запросе отсутствует параметр формы SAMLResponse или TARGET
Эта ошибка возникает при попытке войти в Smartsheet с помощью SAML. Она часто возникает на начальных этапах настройки SAML.
- Пользователь открывает страницу входа в Smartsheet.
- Нажимает кнопку Учётная запись вашей организации.
- Указывает данные, предоставленные IdP.
- IdP выполняет попытку перенаправления пользователя в Smartsheet, однако возникает сообщение об ошибке.
Эта ошибка может возникнуть даже в том случае, если утверждение выглядит абсолютно корректным (включая атрибуты "Сертификат", "Ограничение аудитории", "NameID/Постоянный идентификатор", "Адрес электронной почты").
Причина
Ошибка возникает, когда IdP пытается перенаправить пользователя по адресу https://sso.smartsheet.com/Shibboleth.sso/SAML/POST вместо https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST. Перенаправление зависит от URL-адреса службы обработчика утверждений (Assertion Consumer Service, ACS), настроенного для Smartsheet поставщиком удостоверений.
Некоторые поставщики удостоверений, такие как Citrix ADC, пытаются автоматически обрабатывать URL-адрес ACS, полученный из XML-файла метаданных поставщика услуг Smartsheet: https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml.
В метаданных Smartsheet содержатся четыре привязки AssertionConsumerService со следующими определениями:
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" | Используется для утверждений SAML2 (используется для протокола SAML 2.0 в 99 % конфигураций)
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" | Используется для SAML 2 в качестве альтернативы привязке HTTP-POST с альтернативным механизмом подписи (подробнее см. здесь: http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html)
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" | Обратная конечная точка SOAP для SAML 2
- Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" | Конечная точка POST SAML1 для утверждений SAML1
Несмотря на то что XML-файл поставщика услуг содержит привязки ACS, корректные с точки зрения протокола SAML 1.0, Smartsheet требует, чтобы использовался протокол SAML 2.0.
В случае с Citrix ADC поставщик удостоверений автоматически захватывал некорректную привязку ACS Binding для протокола SAML 1.0, несмотря на то что Citrix использует протокол SAML 2.0. Эту проблему можно решить с вашим IdP. Сообщите, что автоматический выбор привязки ACS происходит некорректно, и требуется указать URL-адрес ACS вручную.
Решение
Попросите администратора IdP настроить URL-адрес привязки ACS корректно: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
Проверьте указанные ниже настройки конфигурации.
- URL-адрес ACS: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
- Ограничение аудитории: https://sso.smartsheet.com/saml
- Валидация сертификатов: https://redkestrel.co.uk/products/decoder/
- Запрос, содержащий атрибуты "Постоянный идентификатор" и "Адрес электронной почты", должен соответствовать поддерживаемым форматам: https://help.smartsheet.com/articles/2476671-saml-assertion-supported-claims