К тексту на этой странице мог быть частично применён машинный перевод.

Определите проблемы в утверждении SAML

Для выявления потенциальных проблем в утверждении SAML следуйте указаниям в этой статье.

Доступно для:

Планы:

  • Enterprise

Разрешения:

  • Системный администратор

Узнайте, входит ли эта возможность в Smartsheet Regions или Smartsheet Gov.

Предварительные условия

Во-первых, вам нужно запечатлеть это утверждение. Узнайте, как это сделать.

Шаг 1. Очистите XML-файл (опционально)

Файл утверждений XML может отображаться в виде текстовой стены, что затрудняет поиск искомых элементов.

  1. Скопируйте текст утверждения и перейдите на сайт xmlprettyprint.com. Вставьте копию в текстовое поле и нажмите кнопку Pretty Print XML. Если xmlprettyprint.com возвращает пустой экран, попробуйте jsonformatter.org/xml-pretty-print
  2. Сохраните файл. 

Шаг 2. Убедитесь, что утверждение не зашифровано

Используйте сочетание клавиш Ctrl+F (Cmd+F на Mac) для поиска в файле следующих файлов:

  • Зашифрованное утверждение
  • Зашифрованные данные
  • Шифрованные данные

Если эти значения присутствуют, попросите администратора IdP отключить шифрование утверждений, чтобы создать новое незашифрованное утверждение. Служба поддержки Smartsheet может попытаться расшифровать файл, но, работая с собственными ресурсами, вы сможете быстрее создать новое утверждение. 

Шаг 3. Проанализируйте утверждение

Это утверждение содержит все пункты, подробно описанные ниже. Убедитесь, что каждый элемент выглядит так, как ожидалось. 

Проверьте сертификат(ы).

  • Сертификаты подтверждают подлинность информации, передаваемой в Smartsheet. Процесс входа в систему не будет завершен, если сертификаты устарели или не прошли проверку.
  • Проверьте сертификаты в метаданных. Может существовать несколько сертификатов, а дата истечения срока действия ключа может быть неточной.

 

Найдите сертификат в утверждении
  1. Откройте файл утверждений. 
  2. Используйте сочетание клавиш Ctrl+F (Cmd+F на Mac) для поиска сертификата 509Certificate.
  3. Скопируйте все данные после > и до закрытия

 

Проверьте сертификат 
  1. Перейдите по ссылке https://redkestrel.co.uk/products/decoder/
  2. Вставьте данные сертификата в текстовое поле и нажмите кнопку «Декодировать».
  3. Убедитесь, что все поля заполнены.

  4. Убедитесь, что сертификат соответствует сертификату в метаданных вашей организации. Попросите администратора IdP экспортировать метаданные своего IdP для перекрестной ссылки на информацию об утверждении.

    Если сертификаты не прошли проверку сертификатов или расшифровку, обновите сертификат или добавьте самые последние метаданные из IdP в Smartsheet. 

 

Утверждения об атрибутах

Утверждение содержит длинный список утверждений или атрибутов. Для аутентификации Smartsheet требуется только два запроса: запрос на постоянный идентификатор (также известный как идентификатор имени) и запрос на адрес электронной почты. 

Smartsheet проверяет две вещи: 

  • Правильно ли оформлена претензия?
  • Передана ли правильная информация?

Убедитесь, что все претензии настроены, как показано в этой статье Справочного центра

 

Проверьте постоянный идентификатор

Используйте сочетание клавиш Ctrl+F (Cmd+F для Mac) и найдите «NameID» или «name=». 

При первой настройке SAML пользователи могут задать элемент NameID для запроса Persistent ID. Приведенные ниже форматы являются допустимыми примерами. 

  • urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
  • urn:oasis:names:tc:SAML:2.0:nameid­-format:email
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
  • urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
  • urn:oid:1.3.6.1.4.1.5923.1.1.1.10 

Ниже приведен пример атрибута NameID Persistent ID: 

пользователь @domaindotcom

Жирным шрифтом выделена та часть претензии, которую необходимо проверить. Если вы используете NameID, он должен соответствовать одному из приведенных выше примеров. 

Курсивом выделена информация, которую IdP передает Smartsheet для аутентификации пользователя. Для идентификации Persistent/Name это не обязательно должен быть адрес электронной почты в нужной учетной записи Smartsheet, но часто это так. 

Другой распространенный вариант — идентификатор пользователя IdP для этого человека. Если в вышеуказанном разделе, выделенном курсивом, нет адреса электронной почты пользователя, отметьте это как потенциальную проблему.  

При первой настройке SAML пользователи также могут отказаться от использования элемента NameID и вместо этого передать нам простой атрибут Persistent ID.

Принятый атрибут Persistent ID может выглядеть как в приведенном выше примере (с одной из этих шести принятых заявок) или как в примере ниже (с одной из пяти принятых претензий): 

  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname""
  • name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
  • name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Вот пример атрибута Persistent ID:
 

name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""

  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="Email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
  • name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name= «адрес электронной почты», формат имени =» http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress "»
  • name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="mail», nameformat="URN:OASIS:names:tc:SAML:2.0:Формат имён ATTR:BASIC» 

    • Вот пример того, как это выглядит в утверждении: 

    Адрес электронной почты» Формат имени =» http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress «>Претензия выделена зеленым и синим цветом. Если это утверждение соответствует принятым примерам, этот атрибут можно использовать. Отметьте фиолетовый текст, чтобы убедиться, что адрес электронной почты в нужной учетной записи Smartsheet указан. 

    Если адрес электронной почты, выделенный курсивом, неправильный, измените атрибут пользователя в IdP или добавьте другое письмо в Smartsheet в качестве подтвержденного альтернативного адреса электронной почты. Обратитесь к администратору IdP, чтобы определить наилучший путь вперед.

     

    Просмотрите свои результаты

    Утверждение должно соответствовать следующим требованиям: 

    1. Сертификат соответствует сертификату в метаданных организации.

    2. Атрибут Persistent ID/NameID соответствует одному из примеров и передает адрес электронной почты нужной учетной записи Smartsheet.

      Иногда это утверждение перевешивает другое значение, и это может быть нормально. Убедитесь, что передаваемое значение является целевым. Если других проблем нет, попробуйте вместо этого отправить подтвержденный адрес электронной почты (в учетной записи Smartsheet) с этой заявкой. 

    3. Атрибут адреса электронной почты соответствует примеру заявки и передает адрес электронной почты нужной учетной записи Smartsheet.