Dieser Artikel hilft Ihnen, öffentlich verfügbare Produkte zu verwenden, um eine SAML-Nachverfolgung durchzuführen, um SSO zu beheben.

Umgebung

Kunden mit einer Federated Adobe-Domäne und SSO konfiguriert.

Schritte

Was ist eine SAML-Nachverfolgung?

SAML (Security Assertion Markup Language) ist ein XML-basierter Identitätsverbundsprachstandard, der unter anderem SSO (Single Sign-On) ermöglicht.

Wenn ein SAML 2.0-Connector in einem Identity Provider(IdP)-Dienst eines Kunden erstellt und zur Anmeldung mit einem Adobe Federated-Konto verwendet wird, wird im Hintergrund ein komplexer Arbeitsablauf ausgeführt, der für den Benutzer größtenteils unsichtbar ist.

Ein Teil dieses Arbeitsablaufs besteht in der Weitergabe und Assertion von vier Hauptattributen:

  • NameID
  • E-Mail
  • Vorname
  • Nachname

Wenn diese Attribute korrekt übergeben werden, „bestätigen“ sie die Identität des Benutzers, der sich anmeldet und eine Verbundsvertrauensstellung zwischen einem Identitätsanbieter (IdP - Kundendienst) und einem Dienstanbieter (SP - Adobe-Dienst) erstellt und SSO erfolgreich ausgeführt wird.

Wenn ein Problem auftritt, ist es für die Kunden und die Kundenbetreuer von Adobe hilfreich, diese SAML-Assertions zwischen dem IdP und dem SP verfolgen zu können.

Ein SAML-Nachverfolgung zeigt wichtige Werte wie die Assertion Consumer Service-URL, die Aussteller-URL und vier SAML 2.0-Hauptattribute.

Was brauche ich, um eine SAML-Nachverfolgung durchzuführen?

SAML-Nachverfolgungsprogramme sind in Form von Internet Browser Add-Ons/Erweiterungen kostenlos zum Download verfügbar und erfordern keine besonderen Berechtigungen oder andere Software.

Zwei der beliebtesten Add-Ons sind:

Firefox-Browser SAML-Nachverfolgungsprogramm-Add Onhttps://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Google Chrome-Browser SAML Chrome Panel-Browsererweiterung:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en

Wie führe ich eine SAML-Nachverfolgung durch?

Es wird empfohlen, das Nachverfolgungsprogramm auf dem Client-System mit dem Benutzerkonto zu installieren und zu verwenden, auf dem das SSO-Problem auftritt. Beachten Sie, dass die hier angegebenen Links und Schritte zum Zeitpunkt der Veröffentlichung korrekt waren.

Andernfalls kann das Nachverfolgungsprogramm für allgemeine SSO-Tests von jedem Client-System und jedem Verbundbenutzerkonto im selben Netzwerk installiert und ausgeführt werden.

Wir verwenden das Firefox SAML-Nachverfolgungsprogramm-Add-On, zum Beispiel hier:

  1. Verwenden Sie den Firefox-Browser und laden Sie das Firefox-Browser SAML-Nachverfolgungsprogramm-Add-On über den zuvor bereitgestellten Link herunter.

  2. Wenn Sie fertig sind, notieren Sie sich das neue orange Menüelement SAML-Nachverfolgungsprogramm-Add-On in der Firefox-Menüleiste, das wie folgt angezeigt wird:

    rtaimage_7_
  3. Klicken Sie auf das Menüelement SAML-Nachverfolgungsprogramm-Add-On und einen neuen zweiteiligen Browser. Das Nachverfolgungsfenster wird wie folgt angezeigt. Die obere Hälfte des Nachverfolgungsfensters zeigt die rollende HTTP POST-, GET- und OPTIONS-Methoden in Echtzeit an. Die untere Hälfte des Nachverfolgungsfensters zeigt erweiterte Details jeder Methode, wenn darauf geklickt wird.

    Hinweis: Das Deaktivieren von AutoBildlauf bei der SAML-Analyse verbessert Ihre Benutzererfahrung.

    rtaimage_8_
  4. Klicken Sie auf das Nachverfolgungsfenster und das Hauptfenster, sodass beide gleichzeitig angezeigt werden.  Navigieren Sie dann zu www.adobe.com und klicken Sie auf Anmelden wie dargestellt:

    rtaimage_9_
  5. Geben Sie die Anmeldedaten für das Adobe-Konto ein und wählen Sie Enterprise ID, wenn Sie dazu aufgefordert werden, und beachten Sie, dass die Methoden HTTP POST, GET und OPTIONS im Nachverfolgungsfenster nach oben rollen.

    Beachten Sie die gelegentlichen orangefarbenen SAML-Tags, die ganz rechts angezeigt werden und SAML-Assertions die angegeben sind.

  6. Wenn die Anmeldung abgeschlossen ist oder dazu geführt hat, dass das zu untersuchende Problem eingetroffen ist, sehen Sie sich das Nachverfolgungsfenster an und suchen Sie die POST-Methode, die auf accauthlinktest  endet und klicken Sie darauf (Hinweis: Das ist die ACS-URL), wie dargestellt.

    step6-saml
  7. Beachten Sie in der unteren Hälfte des Nachverfolgungsfensters die drei Filtertypen HTTP, Parameter und SAML. Klicken Sie auf SAML, um SAML-Assertions wie gezeigt, zu filtern:

    rtaimage_11_
  8. Sie können nun die Ausgabe so prüfen, wie sie angezeigt wird, oder sie ausschneiden und in einen Texteditor einfügen und Elemente überprüfen, wie:

    a. Die Hash-Ebenen „Signature“ und „Digest“: In diesem Beispiel wird SHA-1 angezeigt:

    rtaimage_12_

    b. Die Assertion Consumer Service (ACS)-URL auch als „Antwort-URL“ bezeichnet

    step8b-saml

    c. Die Aussteller-URL/Entitäts-ID:

    rtaimage_15_

    d. Die 4 SAML-Attribut-Assertions, einschließlich ihres Formats und Wertes

    step8d-saml

    e. Überprüfen Sie, ob das X.509-Zertifikat zwischen Idp und SP übergeben wurde

    rtaimage_18_

    f. Bestätigen Sie die aktuell zulässigen Timeskew- oder SAML-TTL-Werte (Time-To-Live)

    2018-02-05_10_1806-inbox-everittadobecom-outlook

Ok toll, was mache ich jetzt mit der Ausgabe?

  • Diese Ausgabe in ihrer Gesamtheit ohne Änderungen sollte zusammen mit anderen Details des Problems an die Adobe-Kundenunterstützung übermittelt werden, wenn ein vermutetes SSO-Problem gemeldet wird.
  • Die Fallsyntax der SAML-Assertions-Ffeldnamen, z. B. NameID, E-Mail, Vorname und Nachname, ist entscheidend für den Erfolg von SSO und kann bei Bedarf schnell in der IdP-Konfiguration eines Kunden identifiziert und geändert werden.
  • Die Werte jeder Assertion werden auch zwischen dem Namen des Adobe-Kontos und dem Namen des Kunden-Verzeichnisdienstkontos überprüft (zum Beispiel: Active Directory).
  • Wenn das SSO-Problem behoben wurde, führen Sie eine neue SAML-Nachverfolgung durch, und speichern Sie eine Kopie der Ausgabe, die als Referenz für eine erfolgreiche SSO-Anmeldung in der Umgebung verwendet werden soll.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie