V tomto článku se dozvíte, jak pomocí veřejně dostupných produktů provést trasování SAML s cílem odstranit potíže s SSO.

Prostředí

Zákazník s federovanou doménou Adobe a nakonfigurovaným SSO

Postup

Co je to trasování SAML?

SAML (Security Assertion Markup Language) je jazykový standard pro federaci identit založený na jazyce XML, který mimo jiné umožňuje jednotné přihlašování.

Pokud je ve službě zprostředkovatele identity zákazníka vytvořen konektor SAML 2.0, který se používá k přihlašování pomocí federovaného účtu Adobe, probíhá na pozadí složitý pracovní postup, který je pro uživatele většinou neviditelný.

Součástí tohoto pracovního postupu je předání a vyhodnocení čtyř klíčových atributů:

  • NameID (ID jména)
  • Email (E-mail)
  • FirstName (Jméno)
  • LastName (Příjmení)

Když jsou tyto atributy správně předány, je na základě nich vyhodnocena identita uživatele, který se pokouší přihlásit, a vytvořen federovaný vztah důvěryhodnosti mezi zprostředkovatelem identity (službou zákazníka) a poskytovatelem služeb (službou společnosti Adobe), díky kterému jednotné přihlašování proběhne úspěšně.

V případě problému je užitečné, když mohou zákazníci společnosti Adobe a pracovníci zákaznické podpory trasovat kontrolní výrazy SAML, k jejichž vyhodnocení mezi zprostředkovatelem identity a poskytovatelem služeb dochází.

Při trasování SAML se zobrazí důležité hodnoty, jako je adresa URL služby Assertion Consumer Service, adresa URL vydavatele a čtyři klíčové atributy SAML 2.0.

Co k provedení trasování SAML potřebuji?

Nástroje pro trasování SAML jsou k dispozici ve formě doplňků/rozšíření internetových prohlížečů. Můžete si je zdarma stáhnout a nejsou vyžadována žádná zvláštní oprávnění ani jiný software.

Tyto dva doplňky jsou nejoblíbenější:

Doplněk SAML Tracer pro prohlížeč Firefoxhttps://addons.mozilla.org/cs-CZ/firefox/addon/saml-tracer/

Rozšíření SAML Chrome Panel pro prohlížeč Google Chrome:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=cz

Jak mohu trasování SAML provést?

Nástroj pro trasování se doporučuje nainstalovat a používat v klientském systému s uživatelským účtem, u kterého k problémům s SSO dochází. Upozorňujeme, že odkazy a kroky, které jsou zde uvedeny, byly platné v době publikování tohoto článku.

Jinak platí, že při obecném testování jednotného přihlašování může být nástroj pro trasování nainstalován a spuštěn z jakéhokoli klientského systému a pomocí libovolného federovaného uživatelského účtu ve stejné síti.

V tomto postupu například použijeme doplněk SAML Tracer prohlížeč Firefox:

  1. Pomocí výše uvedeného odkazu si stáhněte doplněk SAML Tracer a nainstalujte jej do prohlížeče Firefox.

  2. Po dokončení instalace se vám na panelu nabídek prohlížeče Firefox zobrazí nová oranžová ikona doplňku SAML Tracer, kterou vidíte na obrázku:

    rtaimage_7_
  3. Po kliknutím na ikonu doplňku SAML Tracer se vám v prohlížeči zobrazí nové trasovací okno, které bude rozděleno na dvě části, jak vidíte na obrázku. V horní polovině trasovacího okna se bude v reálném čase postupně zobrazovat průběh metod HTTP POST, GET a OPTIONS. V dolní polovině trasovacího okna se zobrazují rozšířené podrobnosti o každé metodě, na kterou kliknete.

    Poznámka: Pokud při provádění analýzy SAML zrušíte výběr možnosti pro automatické posouvání, bude prostředí vypadat lépe.

    rtaimage_8_
  4. Kliknutím na trasovací oknohlavní okno obě tato okna zobrazte současně.  Potom přejděte na stránku www.adobe.com a klikněte na tlačítko Přihlásit se, které vidíte na obrázku:

    rtaimage_9_
  5. Pokračujte zadáním přihlašovacích údajů k účtu Adobe, po zobrazení výzvy vyberte možnost Enterprise ID a v trasovacím okně sledujte, jak se v posuvném zobrazení postupně zobrazuje průběh metod HTTP POST, GET a OPTIONS.

    Všimněte si, že občas se zcela vpravo zobrazí oranžové značky SAML, které označují předávání kontrolních výrazů SAML.

  6. Po dokončení přihlášení nebo v případě, že při přihlášení dojde k problému, který je třeba prověřit, se podívejte do trasovacího okna a klikněte na metodu POST končící na accauthlinktest (poznámka – jedná se o adresu URL služby ACS), viz obrázek.

    step6-saml
  7. V dolní polovině trasovacího okna si všimněte tří typů filtrů: HTTP, Parameters (Parametry) a SAML. Kliknutím na tlačítko SAML vyfiltrujte kontrolní výrazy SAML podle obrázku:

    rtaimage_11_
  8. Nyní můžete zkontrolovat buď přímo zobrazený výstup, nebo můžete tento výstup zkopírovat a vložit do textového editoru a ověřit například následující položky:

    a. Úrovně algoritmu hash pro metodu podpisu a metodu Digest: V tomto příkladu je zobrazena úroveň SHA-1:

    rtaimage_12_

    b. Adresu URL služby ACS (Assertion Consumer Service) neboli adresu pro odpověď

    step8b-saml

    c. Adresu URL vydavatele / ID entity:

    rtaimage_15_

    d. Kontrolní výrazy 4 atributů SAML včetně jejich formátu a hodnoty

    step8d-saml

    e. Skutečnost, zda byl mezi zprostředkovatelem identity a poskytovatelem služeb předán certifikát X.509

    rtaimage_18_

    f. Aktuálně povolené hodnoty Timeskew nebo SAML TTL (Time-To-Live)

    2018-02-05_10_1806-inbox-everittadobecom-outlook

Co teď mám udělat s výstupem?

  • V případě hlášení podezření na problém s SSO je třeba celý tento výstup bez jakýchkoli úprav poskytnou spolu s dalšími podrobnostmi o problému pracovníkům oddělení péče o zákazníky společnosti Adobe.
  • Syntaxe názvů polí kontrolních výrazů SAML (například NameID, Email, FirstName a LastName) je pro úspěšnost jednotného přihlašování zásadní a v případě potřeby ji lze v konfiguraci zprostředkovatele identity zákazníka rychle identifikovat a upravit.
  • Hodnoty každého kontrolního výrazu jsou také ověřovány u názvu účtu Adobe a názvu účtu adresářové služby zákazníka (například služby Active Directory).
  • Po vyřešení problému s SSO proveďte nové trasování SAML a uložte kopii jeho výstupu, kterou bude možné používat jako referenci úspěšného jednotného přihlášení v daném prostředí.

Tato práce podléhá licenci Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Na příspěvky ze služeb Twitter™ a Facebook se nevztahují podmínky licence Creative Commons.

Právní upozornění   |   Zásady ochrany osobních údajů online