Dit artikel helpt u om met behulp van openbaar beschikbare producten een SAML-tracering uit te voeren om problemen met SSO op te lossen.

Omgeving

Klant met een Federated Adobe-domein en SSO geconfigureerd.

Stappen

Wat is een SAML-tracering?

SAML (Security Assertion Markup Language) is een op XML gebaseerde Identity Federation-taalstandaard waarmee onder andere SSO (Single Sign-On) wordt geactiveerd.

Wanneer een SAML 2.0-connector wordt gemaakt in de IdP-service (Identity Provider) van een klant en wordt gebruikt om aan te melden met een Adobe Federated-account, vindt een complexe werkstroom op de achtergrond plaats die grotendeels onzichtbaar is voor de gebruiker.

Onderdeel van deze workflow is het doorgeven en bevestigen van vier belangrijke attributen:

  • NameID
  • E-mail
  • Voornaam
  • Achternaam

Wanneer deze attributen correct worden doorgegeven, 'bevestigen' ze de identiteit van de gebruiker die probeert aan te melden en brengen ze een federated-vertrouwensrelatie tot stand tussen een Identity Provider (IdP - klantenservice) en een serviceprovider (SP - Adobe-service). SSO kan dan plaatsvinden.

Bij een probleem is het nuttig als Adobe-klanten en ondersteuningsmedewerkers deze SAML-bevestigingen die tussen de IdP en SP optreden, kunnen traceren.

Een SAML-tracering toont belangrijke waarden, zoals de URL voor Assertion Consumer Service, URL van de verstrekker en vier belangrijke SAML 2.0-attributen.

Wat moet ik doen om een SAML-tracering uit te voeren?

SAML-tracers zijn beschikbaar in de vorm van browserinvoegtoepassingen. Extensies zijn gratis te downloaden en vereisen geen speciale machtigingen of andere software.

Twee van de meest populaire invoegtoepassingen zijn:

Firefox-browser SAML Tracer Add Onhttps://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Google Chrome-browser SAML Chrome Panel Browser Extension:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=nl

Hoe voer ik een SAML-tracering uit?

Het is raadzaam de Tracer op het clientsysteem te installeren en gebruiken met de gebruikersaccount die het SSO-probleem ondervindt. De koppelingen en stappen die hier zijn verstrekt, waren juist op het moment van publicatie.

Voor algemene SSO-tests kan de Tracer op een willekeurig clientsysteem en een willekeurige Federated-gebruikersaccount op hetzelfde netwerk worden geïnstalleerd en uitgevoerd.

We gebruiken de Firefox SAML Tracer-invoegtoepassing, bijvoorbeeld hier:

  1. Gebruik de Firefox-browser om de Firefox-browserinvoegtoepassing SAML Tracer te downloaden en installeren via de eerder verstrekte koppeling.

  2. Wanneer u klaar bent, zoekt u het nieuwe oranje invoegtoepassingsmenu-element SAML Tracer op de Firefox-menubalk zoals weergegeven:

    rtaimage_7_
  3. Klik op het invoegtoepassingsmenu-element SAML Tracer, waarna de browser in twee delen wordt weergegeven. Traceringsvenster verschijnt zoals weergegeven. De bovenste helft van het traceringsvenster toont de lopende methoden HTTP POST, GET en OPTIONS zoals die in real time optreden. De onderste helft van het traceringsvenster toont uitgebreide details van elke methode wanneer u daarop klikt.

    Opmerking: de gebruikerservaring verbetert wanneer u Automatisch scrollen deselecteert tijdens het uitvoeren van SAML-analyse.

    rtaimage_8_
  4. Klik op het traceringsvenster en het hoofdvenster, zodat beide tegelijk kunnen worden weergegeven.  Navigeer dan naar www.adobe.com en klik op Aanmelden zoals weergegeven:

    rtaimage_9_
  5. Verstrek nu aanmeldingsgegevens voor uw Adobe-account door Enterprise ID te selecteren wanneer u daarom wordt gevraagd, en let op de methoden HTTP POST, GET en OPTIONS die omhoog rollen in het traceringsvenster.

    Helemaal rechts ziet u af en toe oranje SAML-tags, wat aangeeft dat er SAML-asserties worden doorgegeven.

  6. Wanneer de aanmelding is voltooid of als nu is aangekomen bij het probleem dat wordt onderzocht, kijkt u naar het traceringsvenster en zoekt en klikt u op de methode POST die eindigt met accauthlinktest (opmerking: dit is de ACS-URL) zoals weergegeven.

    step6-saml
  7. In de onderste helft van het traceringsvenster ziet u de drie filtertypen HTTP, Parameters en SAML. Klik op SAML om SAML-asserties te filteren zoals getoond:

    rtaimage_11_
  8. U kunt de uitvoer nu inspecteren zoals deze wordt weergegeven, of knippen en naar een teksteditor plakken en daar de volgende items valideren:

    a. In dit voorbeeld worden de methodehashingniveaus SHA-1 voor Signature en Digest weergegeven:

    rtaimage_12_

    b. De Assertion Consumer Service (ACS)-URL oftewel Antwoord-URL

    step8b-saml

    c. De URL van de verstrekker/Entiteits-ID:

    rtaimage_15_

    d. De 4 SAML-attribuutasserties inclusief hun indeling en waarde

    step8d-saml

    e. Bevestig dat het X.509-certificaat tussen IdP en SP wordt doorgegeven.

    rtaimage_18_

    f. Bevestig de huidig toegestane Timeskew- of SAML TTL-waarden (Time-To-Live)

    2018-02-05_10_1806-inbox-everittadobecom-outlook

Wat doe ik nu met deze uitvoer?

  • Deze uitvoer moet geheel en zonder wijzigingen worden verstrekt, evenals andere details van het probleem, aan Adobe-klantenservice wanneer u een SSO-probleem meldt.
  • De casussyntaxis van SAML-assertieveldnamen, bijvoorbeeld NameID, Email, FirstName en LastName zijn cruciaal voor geslaagde SSO en kunnen wanneer nodig snel worden geïdentificeerd en gewijzigd in de IdP-configuratie van een klant.
  • De waarden van elke assertie worden ook gevalideerd tussen Adobe-accountnaam en de directoryservice-accountnaam van de klant (bijvoorbeeld Active Directory).
  • Wanneer het probleem met de SSO is opgelost, voert u een nieuwe SAML-tracering uit en slaat u een kopie op van de uitvoer die moet worden gebruikt als referentie voor een geslaagde SSO-aanmelding in de omgeving.

Dit werk is gelicentieerd onder de Creative Commons Naamsvermelding/Niet-commercieel/Gelijk delen 3.0 Unported-licentie  De voorwaarden van Creative Commons zijn niet van toepassing op Twitter™- en Facebook-berichten.

Juridische kennisgevingen   |   Online privacybeleid