Este artigo ajuda você a usar produtos disponíveis de forma pública para executar um SAML Trace para soluciona problema de SSO.

Ambiente

Cliente com um domínio Federated Adobe e SSO configurado.

Etapas

O que é um SAML Trace?

A Security Assertion Markup Language (SAML) é um padrão de linguagem de Identidade federada com base em XML que entre outros recursos permite usar o Single Sign On (SSO).

Quando um conector SAML 2.0 estiver criado em um serviço de Provedor de Identidade do Cliente (IdP) e for usado para efetuar o login com uma conta Adobe Federated, ocorre um complexo fluxo de trabalho em segundo plano que em sua maioria invisível para o usuário.

Parte desse fluxo de trabalho é a passagem e assertiva de quatro atributos chave.

  • NameID
  • Email
  • FirstName
  • LastName

Quando esses atributos forem corretamente passados, eles fazem a 'assertiva' da identidade do usuário que estiver tentando efetuar o login e criar uma confiança federada entre um Provedor de Identidade (IdP - Serviços ao cliente) e um Provedor de Serviços (SP - Serviço Adobe) e o SSO tem êxito.

Quando houver um problema, é útil que os clientes e para a equipe de suporte ao cliente da Adobe sejam capazes de rastrear essas assertivas SAML que ocorrem entre o IdP e o SP.

Um SAML Trace mostra importantes valores, tal como o Assertion Consumer Service URL, Issuer URL e os quatro atributos chave do SAML 2.0.

O que eu preciso fazer para executar um SAML Trace?

Os rastreios SAML estão disponíveis na forma de Componentes/Extensões no navegador da Internet que são gratuitos para download e não requerem permissões especiais ou outro software.

Dois dos complementos mais populares são:

Navegador Firefox SAML Tracer Add On:https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Navegador Google Chrome SAML Chrome Panel Browser Extension:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en

Como devo executar um SAML Trace?

Recomenda-se instalar e usar o Tracer no sistema cliente com a conta de usuário que estiver tendo o problema de SSO. Observe que os links e etapas aqui fornecidos estavam corretos no momento da publicação.

De outra forma, para o teste geral de SSO, o Tracer pode ser instalado e executado a partir de qualquer sistema cliente e de qualquer conta de usuário Federated na mesma rede.

Nós estamos usando o Complemento Firefox SAML Tracer, por exemplo aqui:

  1. Usando o navegador Firefox baixe e instale o complemento do navegador Firefox SAML Tracer através do link anteriormente fornecido.

  2. Quando concluído, observe o novo elemento de menu SAML Tracer na cor laranja na barra de menus do Firefox, como mostrado:

    rtaimage_7_
  3. Clique no elemento de menu do complemento SAML Tracer e um novo navegador em duas partes aparece. A janela Trace aparece como mostrado. A parte superior da janela Trace mostra os métodos HTTP POST, GET e OPTIONS ocorrendo em tempo real. A parte inferior da janela Trace mostra os detalhes expandidos de cada método quando ele for clicado.

    Observação: cancelar a seleção deAutoscroll ao executar a análise SAML aprimora sua experiência.

    rtaimage_8_
  4. Clique na janela Trace e na Janela principal para que ambas sejam simultaneamente visualizadas.  Então navegue para www.adobe.com e clique em Login como mostrado:

    rtaimage_9_
  5. Prossiga para fornecer as credenciais de login da conta Adobe selecionando Enterprise ID quando solicitado e observe os métodos HTTP POST, GET e OPTIONS rolando para cima na janela Trace.

    Observe o identificadores SAML ocasionais na cor laranja mostrados na extrema direita , indicando as assertivas SAML sendo passadas.

  6. Quando o login tiver sido concluído ou resultou na chegada do problema sendo investigado, examine a janela Trace e localize e clique no método POST terminado em accauthlinktest(observação - esse é o ACS URL) como mostrado.

    step6-saml
  7. Observe na metade inferior da janela Trace, os três tipos de filtros HTTP, Parâmetros e SAML. Clique em SAML para filtrar as assertivas SAML, como mostrado:

    rtaimage_11_
  8. Você agora pode inspecionar a saída como ela aprece ou cortar e colar em um editor de texto e validar os itens, tais como:

    a. Os níveis de hash do método Signature e Digest: SHA-1 é mostrado neste exemplo:

    rtaimage_12_

    b. O Assertion Consumer Service (ACS) URL conhecido como Reply URL

    step8b-saml

    c. O URL do emissor / ID da entidade:

    rtaimage_15_

    d. As 4 assertivas de atributo SAML, incluindo seu formato e valor

    step8d-saml

    e. Validar o Certificado X.509 sendo passado entre o IdP e o SP

    rtaimage_18_

    f. Confirmar os valores no momento permitidos do Timeskew ou do SAML TTL (Time-To-Live)

    2018-02-05_10_1806-inbox-everittadobecom-outlook

Ótimo, o que devo fazer com a saída?

  • Essa saída em sua totalidade e sem nenhum modificação deveria ser fornecida junto com outros detalhes do problema para o Atendimento ao Cliente da Adobe ao reportar um problema suspeito de SSO.
  • A sintaxe do caso dos nomes dos campos de assertiva SAML, por exemplo: NameID, Email, FirstName e LastName são cruciais para que o SSO tenha êxito e podem ser rapidamente identificados e modificados em uma configuração IdP do cliente quando necessário.
  • Os valores de cada assertiva também são validados entre nome do cliente da conta Adobe e nome da conta do serviço de Diretório (por exemplo, Active Directory).
  • Quando o problema SSO tiver sido solucionado, execute um novo rastreio SAML e salve a cópia da saída para ser usada como referência de um login SSO com êxito no ambiente.

Esta obra está licenciada sob uma licença não adaptada da Creative Commons Attribution-Noncommercial-Share Alike 3.0  As publicações do Twitter™ e do Facebook não são cobertas pelos termos do Creative Commons.

Avisos legais   |   Política de privacidade online