Cet article vous aide à utiliser des produits disponibles publiquement pour effectuer une trace SAML afin de résoudre les problèmes d’authentification SSO.

Environnement

Client avec un domaine Adobe fédéré et l’authentification SSO configurée.

Étapes

Qu’est-ce qu’une trace SAML ?

SAML (Security Assertion Markup Language) est une norme de langage de fédération d’identité basée sur XML qui permet entre autres l’authentification unique (SSO).

Lorsqu’un connecteur SAML 2.0 est créé dans le service de fournisseur d’identité d’un client (IdP) et qu’il est utilisé pour se connecter avec un compte Adobe Federated, un flux de travail complexe se produit en arrière-plan, invisible pour l’utilisateur.

Une partie de ce flux de travail est la transmission et la déclaration de quatre attributs clés :

  • NameID
  • Adresse de messagerie
  • Prénom
  • Nom de famille

Lorsque ces attributs sont correctement transmis, ils « déclarent » l’identité de l’utilisateur tentant de se connecter et créent une approbation fédérée entre un fournisseur d’identité (IdP - Service à la clientèle) et un fournisseur de service (SP - service Adobe) et l’authentification fonctionne.

En cas de problème, il est utile que les clients d’Adobe et le personnel du service clientèle puissent faire remonter ces déclarations SAML entre l’IdP et le SP.

Une trace SAML affiche des valeurs importantes telles que l’URL du service consommateur de déclaration, l’URL de l’émetteur et quatre attributs SAML 2.0 clés.

Que dois-je faire pour effectuer une trace SAML ?

Les traceurs SAML sont disponibles sous la forme de modules complémentaires/extensions de navigateur Internet. Ils sont téléchargeables gratuitement et ne requièrent aucune autorisation spéciale ni aucun autre logiciel.

Voici deux des modules complémentaires les plus populaires :

Module complémentaire de traceur SAML pour navigateur Firefox : https://addons.mozilla.org/fr-FR/firefox/addon/saml-tracer/

Extension de navigateur Chrome SAML pour navigateur Google Chrome :

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en

Comment puis-je effectuer une trace SAML ?

Il est recommandé d’installer et d’utiliser le traceur sur le système client avec le compte d’utilisateur qui rencontre le problème d’authentification SSO. Veuillez noter que les liens et les étapes indiqués ici étaient corrects au moment de la publication.

Sinon, pour les tests d’authentification SSO généraux, le traceur peut être installé sur et exécuté depuis n’importe quel système client et compte d’utilisateur fédéré sur le même réseau.

Nous utilisons le module complémentaire SAML Firefox, par exemple ici :

  1. À l’aide du navigateur Firefox, téléchargez et installez le module complémentaire de traceur SAML pour navigateur Firefox via le lien fourni précédemment.

  2. Une fois terminé, vous remarquerez le nouvel élément de menu orange du module complémentaire de traceur SAML dans la barre de menus de Firefox, comme illustré :

    rtaimage_7_
  3. Cliquez sur l’élément de menu de module complémentaire du traceur SAML et un nouveau navigateur en deux parties. La fenêtre de trace apparaît comme illustré. La moitié supérieure de la fenêtre de trace affiche les méthodes HTTP POST, GET et OPTIONS en temps réel. La moitié inférieure de la fenêtre de trace affiche des détails étendus de chaque méthode lorsque vous cliquez dessus.

    Remarque : désélectionnez Autoscroll lors de l’analyse SAML améliore votre expérience.

    rtaimage_8_
  4. Cliquez sur la fenêtre de trace et la fenêtre principale pour visualiser les deux simultanément.  Naviguez ensuite jusqu’à www.adobe.com  et cliquez sur Connexion comme illustré :

    rtaimage_9_
  5. Passez à la saisie des informations d’identification de compte Adobe en sélectionnant Enterprise ID lorsque vous y êtes invité et notez les méthodes HTTP POST, GET et OPTIONS qui remontent dans la fenêtre de trace.

    Notez les balises SAML orange occasionnelles affichées tout à droite, indiquant que les déclarations SAML sont en train de passer.

  6. Lorsque la connexion est terminée ou a donné lieu à une enquête sur le problème, recherchez la fenêtre de trace puis cliquez sur la méthode POST se terminant par accauthlinktest (remarque : il s’agit de l’URL ACS) comme illustré.

    step6-saml
  7. Notez les trois types de filtre HTTP, paramètres et SAML dans la moitié inférieure de la fenêtre de trace. Cliquez sur SAML pour filtrer les déclarations SAML comme illustré :

    rtaimage_11_
  8. Vous pouvez maintenant inspecter la sortie telle qu’elle apparaît ou couper et coller dans un éditeur de texte et valider des éléments tels que :

    a. Les niveaux de hachage Signature et Digest : SHA-1 est illustré dans cet exemple :

    rtaimage_12_

    b. L’URL du service consommateur de déclaration (ACS) ou URL de réponse

    step8b-saml

    c. L’URL de l’émetteur/ID d’entité :

    rtaimage_15_

    d. Les 4 déclarations d’attributs SAML, y compris leur format et valeur

    step8d-saml

    e. Validez le certificat X.509 transmis entre Idp et SP

    rtaimage_18_

    f. Confirmez les valeurs Timeskew ou SAML TTL (Time-To-Live) actuellement autorisées

    2018-02-05_10_1806-inbox-everittadobecom-outlook

Parfait, et maintenant que fais-je avec la sortie ?

  • Cette sortie dans son intégralité sans modification doit être fournie avec d'autres détails du problème à l’assistance clientèle d’Adobe lors du signalement d’un problème d’authentification SSO.
  • La syntaxe des noms de champs de déclaration SAML (par exemple : NameID, Adresse de messagerie, Prénom et Nom de famille) est cruciale pour la réussite de l’authentification unique et peut être rapidement identifiée et modifiée dans la configuration IdP d’un client si nécessaire.
  • Les valeurs de chaque déclaration sont également validées entre le nom du compte Adobe et le nom du compte du service d’annuaire client (par exemple : Active Directory).
  • Lorsque le problème d’authentification SSO a été résolu, effectuez une nouvelle trace SAML et enregistrez une copie de la sortie à utiliser comme référence d’une connexion SSO réussie dans l’environnement.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne