Ошибка единого входа с помощью SAML: opensaml::BindingException

Описание

Ошибка единого входа с помощью SAML: opensaml::BindingException по адресу (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) В запросе отсутствует параметр формы SAMLResponse или TARGET

Эта ошибка возникает при попытке войти в Smartsheet с помощью SAML. Она часто возникает на начальных этапах настройки SAML.

1. Перейдите на страницу входа в Smartsheet.
2. Выберите Учетная запись вашей компании.

3. Введите учетные данные поставщика идентификационных данных (IdP).

   IdP выполняет попытку перенаправления пользователя в Smartsheet, однако возникает сообщение об ошибке. 

Эта ошибка может возникнуть, даже если все в утверждении кажется правильным, например сертификат, ограничение аудитории, NameID/Persistent ID или атрибут Email Address.

Причина

Эта ошибка возникает, если IdP пытается перенаправить пользователя на https://sso.smartsheet.com/Shibboleth.sso/SAML/POST вместо https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST. Перенаправление зависит от URL-адреса службы обработчика утверждений (Assertion Consumer Service, ACS), настроенного для Smartsheet поставщиком удостоверений.

Некоторые поставщики идентификационных данных, такие как Citrix ADC, пытаются автоматически разобрать URL-адрес ACS из XML-метаданных поставщика услуг Smartsheet здесь: https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml.

В метаданных Smartsheet содержатся четыре привязки AssertionConsumerService со следующими определениями:

• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"-Используется для утверждений SAML2. Именно он используется в SAML 2.0 в 99% конфигураций.
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign"-Используется для SAML 2, альтернативы HTTP-POST с альтернативным механизмом подписания. Смотрите здесь: http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS"-обратная конечная точка SOAP для SAML 2.
• Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post"-Конечная точка SAML 1 POST для утверждений SAML 1.

Несмотря на то что XML-файл поставщика услуг содержит привязки ACS, корректные с точки зрения протокола SAML 1.0, Smartsheet требует, чтобы использовался протокол SAML 2.0.

В случае с Citrix ADC IdP автоматически захватывал неверную привязку ACS для SAML 1.0, хотя Citrix использует SAML 2.0. Поработайте с поставщиком IdP. Сообщите, что автоматический выбор привязки ACS происходит некорректно, и требуется указать URL-адрес ACS вручную.

Решение

Чтобы устранить эту ошибку, попросите администратора IdP убедиться, что он настроил правильный URL-адрес ACS: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST.

Проверьте указанные ниже настройки конфигурации.

• ACS URL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
• Ограничение аудитории: https://sso.smartsheet.com/saml
• Проверьте свои сертификаты: https://redkestrel.co.uk/products/decoder/
• Утверждение о постоянном идентификаторе и адресе электронной почты использует поддерживаемые форматы: https://help.smartsheet.com/articles/2476671-saml-assertion-supported-claims