Устранение неполадок SAML: Захват утверждения

Обзор

Во время входа в систему SAML браузер, поставщик услуг (SP, также известный как Smartsheet) и поставщик идентификационных данных (IdP, который может быть Okta, Azure, OneLogin и т. д.) обмениваются несколькими запросами и ответами. Один из этих запросов включает утверждение, в ходе которого IdP предоставляет SP информацию о пользователе, входящем в систему, такую как сертификат 509, постоянный идентификатор (уникальный идентификатор IdP) и адрес электронной почты (уникальный идентификатор Smartsheet).

Что такое утверждение?

Утверждение - это информация, передаваемая поставщиком идентификационных данных (IdP) в Smartsheet или Resource Management. Утверждение содержит информацию об аутентификации, необходимую Smartsheet для проверки того, что в учетную запись входит именно тот человек, который нужен. Если у пользователей возникают проблемы с входом в систему или настройкой SAML, просмотр утверждений может помочь устранить неполадки.

Smartsheet ответит следующее: "Да, ваш сертификат действителен, у вас есть действительный постоянный идентификатор и адрес электронной почты, поэтому вы можете войти в систему" В качестве альтернативы он может сказать: "Нет, ваш сертификат недействителен (небезопасен) или у вас нет ожидаемого постоянного идентификатора или адреса электронной почты. Не удалось войти. Эта ошибка может указать, что именно сломалось"

Ниже приведены инструкции по захвату утверждения. Внимательно следуйте им, сохраните файл и проанализируйте утверждение, используя рекомендации из этой статьи.

Чтобы захватить утверждение

1. Закройте все окна инкогнито и откройте новое окно инкогнито в Google Chrome.
   • Выберите в правом верхнем углу меню Chrome > Новое окно инкогнито, чтобы начать работу со свежим браузером.
2. Выберите правое верхнее меню Chrome > Другие инструменты > Инструменты разработчика. 
3. Откройте вкладку Network и установите флажок Preserve Log.
4. Перейдите по адресу: https://app.smartsheet.com/b/home или https://rm.smartsheet.com/, если возникли проблемы с управлением ресурсами.
5. Введите свой адрес электронной почты в поле и выберите Продолжить.
6. Если вас перенаправляют на вход в систему с учетными данными компании, перейдите к шагу 7.
   • В противном случае в нижней части экрана должна появиться серая кнопка с надписью Your Company Account. Выберите кнопку Your Company Account и войдите в систему, используя учетные данные своей компании.
7. Укажите свои учетные данные для аутентификации в системе SSO вашей компании. Это должно воспроизвести ошибку.
8. Выберите вкладку Network в верхней части Инструментов разработчика и выполните поиск POST в поле Filter (или 'acs' для Resource Management)
9. Выберите результат POST в разделе Name (или 'acs' для Resource Management), а затем выберите вкладку Payload справа. Прокрутите страницу вниз и просмотрите SAMLResponse в разделе Form Data. Это закодированное утверждение.
10. Выделите весь SAMLResponse и обязательно скопируйте его целиком, так как это длинный участок текста.
11. Скопируйте это закодированное утверждение и перейдите по адресу: https://idp.ssocircle.com/sso/toolbox/samlDecode.jsp
12. Вставьте закодированное сообщение утверждения в поле SAML Request, выберите опцию POST и нажмите кнопку Decode.
13. Выберите XML View. 
14. Сохраните файл.

Теперь вы можете определить, есть ли ошибки или недостающая информация. Инструкции приведены в статье Как выявить проблемы в утверждениях SAML.