Denne artikel hjælper dig med at bruge offentligt tilgængelige produkter til at udføre en SAML-sporing ved fejlfinding i forbindelse med SSO.

Miljø

Kunde med et Federated Adobe-domæne og SSO konfigureret.

Trin

Hvad er en SAML-sporing?

Security Assertion Markup Language (SAML) er en XML-baseret Identity federation-sprogstandard, der bl.a. aktiverer SSO (Single Sign On).

Når der oprettes en SAML 2.0 connector i en kundes IdP-tjeneste (Identity Provider), og den bruges til at logge på med en Adobe Federated-konto, foregår der en kompleks proces, som stort set er usynlig for brugeren, i baggrunden.

En del af processen er overførsel og bekræftelse af fire nøgleattributter:

  • NameID
  • E-mail
  • Fornavn
  • Efternavn

Når disse tre attributter overføres korrekt, "bekræfter" de identiteten på den bruger, som forsøger at logge på og oprette samlet tillid mellem en Identity Provider (IdP – Customer service) og en Service Provider (SP – Adobe service) samt SSO.

Når der opstår et problem, er det nyttigt for Adobes kunder og for kundesupport at kunne spore disse SAML-bekræftelser mellem IdP og SP.

En SAML-sporing viser vigtige værdier som Assertion Consumer Service URL, Issuer URL og fire nøgleattributter fra SAML 2.0.

Hvad kræves der for at udføre en SAML-sporing?

Funktion til SAML-sporing findes som gratis tilføjelser/udvidelser til internetbrowsere og kræver ikke særlige tilladelser eller anden software.

To af de mest populære tilføjelser er:

Firefox SAML Tracer-tilføjelsehttps://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Google Chrome SAML Chrome Panel-browserudvidelse:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=da

Hvordan udfører jeg en SAML-sporing?

Det anbefales at installere og bruge tracer-funktionen på klientsystemet med den brugerkonto, hvor der er problemer med SSO. Bemærk, at alle links og fremgangsmåder beskrevet her var korrekte på udgivelsestidspunktet.

Til generel test af SSO kan tracer-funktionen installeres og køres fra ethvert klientsystem og enhver Federated-brugerkonto på samme netværk.

Vi anvender Firefox SAML Tracer-tilføjelsesprogrammet, f.eks. her:

  1. I Firefox skal du downloade og installere SAML Tracer-tilføjelsesprogrammet via det tidligere angivne link.

  2. Når du er færdig, vises den nye orange SAML Tracer-tilføjelse på Firefox-menulinjen som vist her:

    rtaimage_7_
  3. Klik på SAML i tilføjelsesmenuen og en ny todelt browser. Tracer-vinduet vises som angivet. I den øverste halvdel af Tracer-vinduet vises en rullende tekst med metoderne HTTP POST, GET og OPTIONS i realtid. I den nederste del af Tracer-vinduet vises detaljerede oplysninger om hver enkelt metode, når der klikkes på den.

    Bemærk: Det anbefales at fravælge Autoscroll, når der udføres en SAML-analyse.

    rtaimage_8_
  4. Klik på Tracer-vinduet og hovedvinduet, så begge vises samtidig.  Gå derefter ind på www.adobe.com/dk og klik på Log på som vist:

    rtaimage_9_
  5. Angiv dine Adobe-legitimationsoplysninger. Vælg Enterprise ID, når du bliver spurgt, og bemærk metoderne HTTP POST, GET og OPTIONS, der ruller opad i Tracer-vinduet.

    Bemærk SAML-mærkerne, der indimellem bliver orange, yderst til højre. De angiver, at der overføres SAML-bekræftelser.

  6. Når der er logget på, eller når det problem, der undersøges, er opstået, skal du se i Tracer-vinduet og klikke på POST-metoden med endelsen accauthlinktest (bemærk – det er ACS-URL'en) som vist.

    step6-saml
  7. Bemærk de tre filtertyper HTTP, Parameters, og SAML i den nederste halvdel af Tracer-vinduet . Klik på SAML for at filtrere SAML-bekræftelser som vist:

    rtaimage_11_
  8. Du kan nu undersøge outputtet, som det ser ud, eller klippe det ud og indsætte det i en teksteditor og validere elementer som:

    a. Signature- og Digest-metoden med hashing-niveauer: SHA-1 er vist i dette eksempel:

    rtaimage_12_

    b. Assertion Consumer Service (ACS)-URL, også kaldet Svar-URL

    step8b-saml

    c. Udbyder-URL/Enheds-id:

    rtaimage_15_

    d. De 4 SAML-attributbekræftelser, inkl. deres format og værdi 

    step8d-saml

    e. Valider X.509-certifikatet, der udveksles mellem Idp og SP

    rtaimage_18_

    f. Bekræft de aktuelle tilladte værdier for Timeskew eller SAML TTL (Time-To-Live)

    2018-02-05_10_1806-inbox-everittadobecom-outlook

Hvad gør jeg så nu med outputtet?

  • Outputtet skal sendes uden ændringer sammen med øvrige oplysninger om problemet til Adobes kundeservice, når du rapporterer en mistanke om et SSO-problem.
  • I SAML-bekræftelsesfeltnavne, f.eks. NameID, Email, FirstName og LastName skal store og små bogstaver angives korrekt, for at SSO skal kunne virke, og de kan om nødvendigt hurtigt identificeres og ændres i en kundes IdP-konfiguration.
  • Værdierne i hver enkelt bekræftelse valideres også mellem Adobe-kontonavnet og kontonavnet på kundens katalogtjeneste (f.eks.: Active Directory).
  • Når SSO-problemet er løst, skal der udføres en ny SAML-sporing igen og gemmes en kopi af outputtet til brug som reference for gennemført SSO-login i miljøet.

Dette arbejde har licens under en Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Opslag på Twitter™ og Facebook er ikke omfattet af vilkårene for Creative Commons.

Juridiske meddelelser   |   Politik for beskyttelse af personlige oplysninger online