Questo articolo ti aiuta a utilizzare prodotti disponibili pubblicamente per eseguire una traccia SAML per la risoluzione dei problemi di SSO.

Ambiente

Cliente con un dominio Adobe federato e SSO configurato.

Passaggi

Cos'è una traccia SAML?

Il linguaggio SAML (Security Assertion Markup Language) è uno standard di linguaggio di federazione delle identità basato su XML che, tra le altre funzionalità, consente Single Sign On (SSO).

Quando viene creato un connettore SAML 2.0 nel servizio IdP (Identity Provider) di un cliente e viene utilizzato per accedere con un account Adobe Federated, si verifica un flusso di lavoro complesso in background, che per lo più è invisibile all'utente.

Parte di questo flusso di lavoro è il passaggio e l’asserzione di quattro attributi chiave:

  • NameID
  • E-mail
  • Nome
  • Cognome

Quando questi attributi vengono passati correttamente, "asseriscono" l'identità dell'utente che tenta di accedere e creano un’attendibilità federata tra un fornitore di identità (IdP - servizio clienti) e un fornitore di servizi (SP - servizio Adobe) e SSO riesce.

Quando c'è un problema, è utile che i clienti e il personale di assistenza clienti di Adobe siano in grado di tracciare queste asserzioni SAML che si verificano tra IdP e SP.

Una traccia SAML mostra valori importanti come l'URL del servizio clienti di asserzione, l'URL dell'emittente e quattro attributi SAML 2.0 chiave.

Di cosa ho bisogno per eseguire una traccia SAML?

I tracer SAML sono disponibili sotto forma di componenti aggiuntivi/estensioni del browser Internet, sono scaricabili gratuitamente e non richiedono autorizzazioni speciali o altro software.

Due dei componenti aggiuntivi più popolari sono i seguenti:

Browser Firefox Componente aggiuntivo tracer SAMLhttps://addons.mozilla.org/it/firefox/addon/saml-tracer/

Browser Google Chrome Estensione browser pannello SAML Chrome :

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en

Come si esegue una traccia SAML?

Si consiglia di installare e utilizzare il tracer sul sistema client con l'account utente che sta riscontrando il problema SSO. Notare che i collegamenti e i passaggi forniti qui erano corretti al momento della pubblicazione.

In caso contrario, per il test SSO generale, il tracer può essere installato ed eseguito da qualsiasi sistema client e qualsiasi account utente federato sulla stessa rete.

Stiamo utilizzando il componente aggiuntivo SAML Tracer di Firefox, ad esempio qui:

  1. Tramite il browser Firefox, scaricare e installare il browser componente aggiuntivo del browser Firefox SAML Tracer mediante il collegamento fornito in precedenza.

  2. Al termine, il nuovo componente aggiuntivo SAML tracer arancione viene visualizzato nella barra dei menu di Firefox, come mostrato:

    rtaimage_7_
  3. Fai clic sull’elemento del menu dei componenti aggiuntivi SAML tracer e un nuovo browser in due parti. La finestra di traccia viene visualizzata come mostrato. La metà superiore della finestra di traccia mostra i metodi HTTP POST, GET e OPTIONS che vengono eseguiti in tempo reale. La metà inferiore della finestra di traccia mostra i dettagli espansi di ciascun metodo quando viene si fa clic su di esso.

    Nota: se si deseleziona lo scorrimento automatico quando si esegue l'analisi SAML migliora l’esperienza utente migliora.

    rtaimage_8_
  4. Fare clic sulla finestra di traccia e sulla finestra principale in modo che entrambe vengano visualizzate contemporaneamente.  Quindi accedere a www.adobe.com e fare clic su Accedi come mostrato:

    rtaimage_9_
  5. Fornire le credenziali di accesso dell'account Adobe selezionando Enterprise ID quando richiesto. Vengono visualizzati i metodi HTTP POST, GET e OPTIONS che si spostano verso l'alto nella finestra di traccia.

    Vengono visualizzati i tag SAML arancioni occasionali mostrati all'estrema destra che indicano che le asserzioni SAML sono riuscite.

  6. Una volta che l’accesso è stato completato o dopo che ha prodotto l’identificazione il problema, esamina la finestra di traccia e individua e fai clic sul metodo POST che termina con accauthlinktest (nota: questo è l'URL ACS), come mostrato. 

    step6-saml
  7. Nella metà inferiore della finestra di traccia, sono visibili i tre tipi di filtro HTTP, Parametri e SAML. Fare clic su SAML per filtrare le asserzioni SAML come mostrato:

    rtaimage_11_
  8. Ora puoi esaminare l'output come viene visualizzato o eseguire il taglia e incolla su un editor di testo e convalidare elementi come i seguenti:

    a. I livelli di hashing del metodo Signature and Digest: SHA-1 è mostrato in questo esempio:

    rtaimage_12_

    b. L’URL del servizio clienti di asserzione (ACS) ossia l’URL di risposta

    step8b-saml

    c. L’URL dell'emittente/ID entità:

    rtaimage_15_

    d. Le 4 asserzioni degli attributi SAML incluso il loro formato e valore 

    step8d-saml

    e. Convalida il certificato X.509 che viene trasmesso tra Idp e SP

    rtaimage_18_

    f. Conferma i valori attuali consentiti di Timekew o SAML TTL (Time-To-Live)

    2018-02-05_10_1806-inbox-everittadobecom-outlook

Ok bene, ora cosa faccio con l'output?

  • Questo output nella sua interezza senza alcuna modifica dovrebbe essere fornito insieme ad altri dettagli del problema ad Adobe Customer Care quando si segnala un problema sospetto di SSO.
  • La sintassi del caso dei nomi dei campi di asserzione SAML, ad esempio: NameID, Email, FirstName e LastName, è fondamentale per il superamento di SSO e possono essere rapidamente identificati e modificati nella configurazione IdP del cliente quando richiesto.
  • I valori di ciascuna asserzione sono convalidati anche tra il nome dell'account Adobe e il nome dell'account del servizio Directory del cliente (ad esempio: Active Directory).
  • Una volta che il problema SSO è stato risolto, esegui una nuova traccia SAML e salva una copia dell'output da utilizzare come riferimento di un accesso SSO riuscito nell'ambiente.

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online