本文可帮助您使用公开可用的产品执行 SAML 追踪,以便对 SSO 进行故障诊断。

环境

客户已配置 Adobe 联合域和 SSO。

步骤

什么是 SAML 追踪?

安全断言标记语言 (SAML) 是一种基于 XML 的身份联合语言标准,SAML 具有许多功能,其中包括支持单点登录 (SSO)。

如果在客户的身份提供程序 (IdP) 服务中创建了 SAML 2.0 连接器,然后使用该连接器通过 Adobe 联合帐户进行登录,那么后台中会出现一个对用户几乎不可见的复杂工作流。

在该工作流中,将会传递并断言以下四个关键属性:

  • NameID
  • Email
  • FirstName
  • LastName

正确传递这些属性后,这些属性会“断言”正尝试登录的用户的身份,并在身份提供程序(IdP - 客户服务)和服务提供程序(SP - Adobe 服务)之间建立联合信任关系,由此便可成功实现 SSO。

出现问题时,如果 Adobe 客户及客户支持人员能够追踪 IdP 和 SP 之间出现的这些 SAML 断言,将会非常有用。

SAML 追踪可显示重要的值,例如“断言客户服务 URL”、“颁发者 URL”以及四个关键的 SAML 2.0 属性。

执行 SAML 追踪需要什么?

SAML 追踪程序是以 Internet 浏览器附加组件/扩展程序的形式提供的,可免费下载,且不需要任何特殊权限或其他软件。

下面是两个最常用的附加组件:

Firefox 浏览器“SAML 追踪程序附加组件”:https://addons.mozilla.org/zh-CN/firefox/addon/saml-tracer/

Google Chrome 浏览器“SAML Chrome 面板浏览器扩展程序”:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=zh-cn

如何执行 SAML 追踪?

建议您使用出现 SSO 问题的用户帐户在客户端系统上安装并使用 SAML 追踪程序。请注意,此处提供的链接和步骤在本文发布时是正确的,但将来可能会发生更改。

另外,进行常规 SSO 测试时,可以在任何客户端系统上使用同一网络中的任何联合用户帐户安装并运行此追踪程序。

在下面的示例中,我们使用的是 Firefox SAML 追踪程序附加组件:

  1. 通过前面提供的相应链接,使用 Firefox 浏览器下载并安装 Firefox 浏览器 SAML 追踪程序附加组件。

  2. 完成后,请注意 Firefox 菜单栏中出现一个新的橙色 SAML 追踪程序附加组件菜单元素,如下所示:

    rtaimage_7_
  3. 单击 SAML 追踪程序附加组件菜单元素,此时会打开一个新的浏览器,该浏览器分为两个部分。追踪窗口如下所示。追踪窗口的上半部分会滚动显示实时发生的 HTTP POST、GET 和 OPTIONS 方法。单击每个方法时,追踪窗口的下半部分会显示方法的扩展详细信息。

    注意:执行 SAML 分析时,如果取消选择自动滚动,可以获得更好的体验。

    rtaimage_8_
  4. 单击“追踪窗口”和“主窗口”,以同时查看这两个窗口。然后,导航到 www.adobe.com,并单击登录,如下所示:

    rtaimage_9_
  5. 继续提供 Adobe 帐户登录凭据,若收到提示,请选择“Enterprise ID”;请注意,HTTP POST、GET 和 OPTIONS 方法在追踪窗口中是向上滚动的。

    请注意,有时橙色的 SAML 标签会在窗口最右侧显示,这表示正在传递 SAML 断言。

  6. 完成登录或登录出现问题而需要调查时,请查看追踪窗口,找到并单击accauthlinktest 结尾的 POST 方法(注意 - 这是 ACS URL),如下所示。

    step6-saml
  7. 请注意,在追踪窗口的下半部分,有三个筛选器类型,即“HTTP”、“参数”和“SAML”。单击 SAML 以筛选 SAML 断言,如下所示:

    rtaimage_11_
  8. 此时,您可以检查显示的输出,或将其剪切并粘贴到文本编辑器以验证如下项目:

    a. 签名和摘要方法哈希级别:以下示例中显示的是 SHA-1:

    rtaimage_12_

    b. 断言消费者服务 (ACS) URL(又称为回复 URL)

    step8b-saml

    c. 颁发者 URL/实体 ID:

    rtaimage_15_

    d. 4 个 SAML 属性断言,包括其格式和值

    step8d-saml

    e. 验证在 Idp 和 SP 之间传递的 X.509 证书

    rtaimage_18_

    f. 确认当前允许的时间倾斜或 SAML TTL(生存时间)值

    2018-02-05_10_1806-inbox-everittadobecom-outlook

很好,接下来该如何处理输出?

  • 报告可疑的 SSO 问题时,应向 Adobe 客户关怀团队提供未经任何修改的完整输出,以及与问题有关的其他详细信息。
  • SAML 断言字段名称的大小写语法(如 NameID、Email、FirstName 和 LastName)对于 SSO 成功与否至关重要,如有需要,可在客户的 IdP 配置中快速识别并修改这些字段。
  • 此外,还会在 Adobe 帐户名称和客户目录服务帐户名称(例如:Active Directory)之间验证每个断言的值。
  • 解决 SSO 问题后,再重新执行一次 SAML 追踪,并保存输出的副本,以将其用作在环境中成功进行 SSO 登录的参考。

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略