SAML (Security Assertion Markup Language) est une norme de langage de fédération d’identité basée sur XML qui permet entre autres l’authentification unique (SSO).
Lorsqu’un connecteur SAML 2.0 est créé dans le service de fournisseur d’identité d’un client (IdP) et qu’il est utilisé pour se connecter avec un compte Adobe Federated, un flux de travail complexe se produit en arrière-plan, invisible pour l’utilisateur.
Une partie de ce flux de travail est la transmission et la déclaration de quatre attributs clés :
- NameID
- Adresse de messagerie
- Prénom
- Nom de famille
Lorsque ces attributs sont correctement transmis, ils « déclarent » l’identité de l’utilisateur tentant de se connecter et créent une approbation fédérée entre un fournisseur d’identité (IdP - Service à la clientèle) et un fournisseur de service (SP - service Adobe) et l’authentification fonctionne.
En cas de problème, il est utile que les clients d’Adobe et le personnel du service clientèle puissent faire remonter ces déclarations SAML entre l’IdP et le SP.
Une trace SAML affiche des valeurs importantes telles que l’URL du service consommateur de déclaration, l’URL de l’émetteur et quatre attributs SAML 2.0 clés.
Les traceurs SAML sont disponibles sous la forme de modules complémentaires/extensions de navigateur Internet. Ils sont téléchargeables gratuitement et ne requièrent aucune autorisation spéciale ni aucun autre logiciel.
Voici deux des modules complémentaires les plus populaires :
Module complémentaire de traceur SAML pour navigateur Firefox : https://addons.mozilla.org/fr-FR/firefox/addon/saml-tracer/
Extension de navigateur Chrome SAML pour navigateur Google Chrome :
https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en
Il est recommandé d’installer et d’utiliser le traceur sur le système client avec le compte d’utilisateur qui rencontre le problème d’authentification SSO. Veuillez noter que les liens et les étapes indiqués ici étaient corrects au moment de la publication.
Sinon, pour les tests d’authentification SSO généraux, le traceur peut être installé sur et exécuté depuis n’importe quel système client et compte d’utilisateur fédéré sur le même réseau.
Nous utilisons le module complémentaire SAML Firefox, par exemple ici :
-
Cliquez sur l’élément de menu de module complémentaire du traceur SAML et un nouveau navigateur en deux parties. La fenêtre de trace apparaît comme illustré. La moitié supérieure de la fenêtre de trace affiche les méthodes HTTP POST, GET et OPTIONS en temps réel. La moitié inférieure de la fenêtre de trace affiche des détails étendus de chaque méthode lorsque vous cliquez dessus.
Remarque : désélectionnez Autoscroll lors de l’analyse SAML améliore votre expérience.
-
Passez à la saisie des informations d’identification de compte Adobe en sélectionnant Enterprise ID lorsque vous y êtes invité et notez les méthodes HTTP POST, GET et OPTIONS qui remontent dans la fenêtre de trace.
Notez les balises SAML orange occasionnelles affichées tout à droite, indiquant que les déclarations SAML sont en train de passer.
- Cette sortie dans son intégralité sans modification doit être fournie avec d'autres détails du problème à l’assistance clientèle d’Adobe lors du signalement d’un problème d’authentification SSO.
- La syntaxe des noms de champs de déclaration SAML (par exemple : NameID, Adresse de messagerie, Prénom et Nom de famille) est cruciale pour la réussite de l’authentification unique et peut être rapidement identifiée et modifiée dans la configuration IdP d’un client si nécessaire.
- Les valeurs de chaque déclaration sont également validées entre le nom du compte Adobe et le nom du compte du service d’annuaire client (par exemple : Active Directory).
- Lorsque le problème d’authentification SSO a été résolu, effectuez une nouvelle trace SAML et enregistrez une copie de la sortie à utiliser comme référence d’une connexion SSO réussie dans l’environnement.