Выявление проблем в утверждении SAML

Предварительные условия

Прежде всего, вам нужно зафиксировать утверждение. Подробнее.

Шаг 1: Очистите свой XML-файл (необязательно)

Файл утверждений XML может выглядеть как стена текста, что затрудняет поиск нужных элементов.

1. Скопируйте текст утверждения и перейдите на сайт xmlprettyprint.com. Вставьте копию в текстовое поле и выберите кнопку Pretty Print XML. Если xmlprettyprint.com выдает пустой экран, попробуйте jsonformatter.org/xml-pretty-print. 
2. Сохраните файл. 

Шаг 2: Убедитесь, что утверждение не зашифровано

Используйте Ctrl + F (Cmd + F на Mac) для поиска файла:

• EncryptedAssertion
• Зашифрованные данные
• CipherData

Если эти значения присутствуют, попросите администратора IdP отключить шифрование утверждения, чтобы сгенерировать новое, незашифрованное утверждение. Служба поддержки Smartsheet может попытаться расшифровать файл, но работа с собственными ресурсами будет быстрее, чем создание нового утверждения. 

Шаг 3: Проанализируйте утверждение

Утверждение содержит все элементы, описанные ниже. Убедитесь, что каждый элемент выглядит так, как ожидалось. 

Проверьте сертификат(ы).

• Сертификаты удостоверяют подлинность информации, передаваемой в Smartsheet. Процесс входа в систему не будет завершен, если сертификаты устарели или не прошли проверку.
• Проверьте сертификаты в метаданных. Может существовать несколько сертификатов, а дата истечения срока действия ключа может быть неточной.

Найдите сертификат в утверждении

1. Откройте файл утверждения. 
2. Используйте Ctrl + F (Cmd + F на Mac) для поиска 509Certificate.
3. Скопируйте все данные после > и перед закрывающей

Проверьте сертификат(ы).

1. Перейти на сайт https://redkestrel.co.uk/products/decoder/
2. Вставьте данные сертификата в текстовое поле и выберите кнопку Decode.
3. Убедитесь, что все поля пройдены.

4. Убедитесь, что сертификат соответствует сертификату в метаданных вашей организации. Попросите администратора IdP экспортировать метаданные из своего IdP, чтобы сопоставить информацию об утверждениях.

   Если сертификаты не проходят проверку или декодер, обновите свой сертификат или добавьте в Smartsheet самые последние метаданные из IdP. 

Требования к атрибутам

Утверждение содержит длинный список утверждений или атрибутов. Smartsheet требует только два утверждения для аутентификации: утверждение постоянного идентификатора (также известного как идентификатор имени) и утверждение адреса электронной почты. 

Smartsheet проверяет две вещи:

• Правильно ли составлена претензия?
• Передается ли правильная информация?

Убедитесь, что все требования настроены так, как показано в этой статье Справочного центра. 

Проверьте постоянный идентификатор

Используйте Ctrl + F (Cmd + F для Mac) и выполните поиск "NameID" или "name=". 

При первой настройке SAML пользователи могут задать элемент NameID для утверждения своего постоянного идентификатора. Приведенные ниже форматы являются общепринятыми примерами. 

• urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
• urn:oasis:names:tc:SAML:2.0:nameid­-format:email
• urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
• urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
• urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
• urn:oid:1.3.6.1.4.1.5923.1.1.1.10 

Вот пример атрибута NameID Persistent ID:

user@domaindotcom.

Жирным шрифтом выделена та часть утверждения, которую необходимо проверить. Если вы используете NameID, он должен соответствовать одному из приведенных выше примеров. 

Курсивом выделена информация, которую IdP передает Smartsheet для аутентификации пользователя. Для идентификатора Persistent/name ID это не обязательно должен быть адрес электронной почты в нужной учетной записи Smartsheet, но часто это именно так. 

Другим распространенным вариантом является идентификатор пользователя IdP для этого человека. Если в разделе, выделенном курсивом, не указана электронная почта пользователя, обратите на это внимание как на потенциальную проблему.  

При первой настройке SAML пользователи также могут отказаться от использования элемента NameID и вместо него передать нам простой атрибут Persistent ID.

Принятый атрибут Persistent ID может выглядеть так, как показано в примере выше (с одним из шести принятых утверждений) или как показано в примере ниже (с одним из пяти принятых утверждений):

• name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
• name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname""
• name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
• name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
• name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Вот пример Постоянный идентификатор атрибут:

user@domaindotcom.

Утверждение выделено жирным шрифтом. Этот атрибут можно использовать, если утверждение соответствует принятым примерам. Отметьте курсивный текст, чтобы убедиться, что передан адрес электронной почты нужной учетной записи Smartsheet. Если выделенный курсивом раздел не соответствует электронной почте, обратите внимание на эту потенциальную проблему.

Атрибут адреса электронной почты

Используйте Ctrl + F (Cmd + F для Mac) и выполните поиск по словам "emailaddress" или "nameFormat". 

Атрибут email address должен передавать проверенный адрес электронной почты в учетной записи Smartsheet и не принимает элементы NameID, как атрибут Persistent выше. Он также должен соответствовать одному из приведенных ниже утверждений и передавать правильную электронную почту. 

• name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
• name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
• name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
• name="Email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
• name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
• name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
• name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
• name="emailaddress",nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
• name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
• name="mail",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic" 

Вот пример того, как это выглядит в утверждении:

name="emailaddress "nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">http://www.w3.org/2001/XMLSchema "xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">;user@domaindotcom.

Претензия выделена зеленым и синим цветом. Если это утверждение соответствует принятым нами примерам, то атрибут можно использовать. Отметьте фиолетовый текст, чтобы убедиться, что передан адрес электронной почты нужной учетной записи Smartsheet. 

Если электронная почта, выделенная курсивом, не является правильной, обновите атрибут пользователя в IdP или добавьте другую электронную почту в качестве подтвержденного альтернативного адреса электронной почты в Smartsheet. Обратитесь к администратору IdP, чтобы определить наилучший путь.

Проанализируйте свои выводы

Утверждение должно отвечать следующим требованиям:

1. Сертификат проходит и соответствует сертификату в метаданных org.

2. Атрибут Persistent ID/NameID соответствует одному из примеров и передает адрес электронной почты из нужной учетной записи Smartsheet.

   Иногда это утверждение передает другое значение, что может быть вполне нормально. Убедитесь, что передаваемое значение является целевым. Если других проблем нет, попробуйте передать проверенный адрес электронной почты (в учетной записи Smartsheet) для этого требования. 

3. Атрибут "Адрес электронной почты" соответствует примеру из формулы и передает адрес электронной почты из нужной учетной записи Smartsheet.