Tässä artikkelissa annetaan ohjeita yleisesti saatavilla olevien tuotteiden käyttämiseen SAML-jäljityksen suorittamiseksi SSO:n vianmäärityksessä.

Ympäristö

Asiakas, jolla on Federated Adobe -toimialue ja SSO määritettynä.

Vaiheet

Mikä on SAML-jäljitys?

Security Assertion Markup Language (SAML) on XML-pohjainen tunnistetietojen yhdistämiskielistandardi, joka muun muassa mahdollistaa kertakirjautumisen (SSO).

Kun SAML 2.0 -liitin luodaan asiakkaan tunnistetietojen toimittajapalvelussa (IdP) ja sitä käytetään kirjautumiseen Adoben Federated-tilillä, taustalla tapahtuu monimutkainen työnkulku, joka on enimmäkseen näkymätön käyttäjälle.

Osa tästä työnkulusta on neljän keskeisen määritteen antaminen ja vahvistaminen:

  • NameID
  • Email
  • FirstName
  • LastName

Kun nämä määritteet annetaan oikein, ne vahvistavat kirjautumista yrittävän käyttäjän tunnistetiedot ja luovat yhdistetyn luottamussuhteen tunnistetietojen toimittajan (IdP – asiakaspalvelu) ja palvelun tarjoajan (SP – Adobe-palvelu) välille ja kertakirjautuminen onnistuu.

Jos tulee ongelmia, on hyödyllistä, että Adoben asiakkaat ja asiakastukihenkilöstö pystyvät jäljittämään IdP:n ja SP:n väliset SAML-vahvistukset.

SAML-jäljitys näyttää tärkeät arvot, kuten Assertion Consumer Service URLin, Issuer-URLin ja neljä keskeistä SAML 2.0 -määritettä.

Mitä tarvitsen SAML-jäljityksen suorittamiseen?

SAML-jäljittäjiä on saatavina verkkoselaimen laajennuksina tai lisäosina. Ne voi ladata maksutta eikä niiden käyttö edellytä lisäoikeuksia tai muita ohjelmistoja.

Kaksi suosituinta lisäosaa ovat

Firefox-selaimen SAML Tracer -lisäosahttps://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Google Chrome -selaimen SAML Chrome Panel -selainlaajennus:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=fi

Kuinka suoritan SAML-jäljityksen?

On suositeltavaa asentaa jäljitin ja käyttää sitä asiakasjärjestelmässä käyttäjätunnuksella, jolla on SSO-ongelma. Huomaa, että tässä esitetyt linkit ja vaiheet olivat oikein julkaisuajankohtana.

Muutoin yleistä SSO-testausta varten jäljitin voidaan asentaa ja sitä voidaan käyttää mistä tahansa asiakasjärjestelmästä ja kaikilta saman verkon yhdistetyiltä käyttäjätileiltä.

Käytämme Firefoxin SAML Tracer -lisäosaa, esimerkiksi tässä:

  1. Käytä Firefox-selainta ja lataa ja asenna Firefoxin SAML Tracer -lisäosa aiemmin kerrotun linkin avulla.

  2. Kun olet valmis, huomaa uusi oranssi SAML tracer -lisäosavalikkoelementti Firefoxin valikkorivillä, kuten kuvassa:

    rtaimage_7_
  3. Napsauta SAML tracer -lisäosaa valikossa ja uutta kaksiosaista selainikkunaa. Jäljitysikkuna näkyy kuten kuvassa. Jäljitysikkunan yläosassa näkyvät reaaliaikaiset liikkuvat HTTP POST-, GET- ja OPTIONS-metodit. Jäljitysikkunan alempi puolikas näyttää kunkin metodin laajennetut yksityiskohtaiset tiedot, kun sitä napsautetaan.

    Huomautus: Paranna käyttöä poistamalla käytöstä automaattinen vieritys, kun suoritat SAML-analyysiä.

    rtaimage_8_
  4. Napsauta jäljitysikkunaa ja pääikkunaa niin, että molemmat näkyvät samanaikaisesti.  Siirry sitten osoitteeseen www.adobe.com ja valitse Kirjaudu sisään, kuten kuvassa:

    rtaimage_9_
  5. Jatka antamalla Adobe-tilin kirjautumistiedot valitsemalla Enterprise ID -tunnus pyydettäessä ja huomioimalla HTTP POST-, GET- ja OPTIONS-metodien vieriminen ylöspäin jäljitysikkunassa.

    Huomaa, että oransseja SAML-tunnisteita näkyy satunnaisesti oikeassa laidassa osoituksena SAML-vahvistusten lähetyksestä.

  6. Kun kirjautuminen on suoritettu tai se on johtanut tutkittavana olevan ongelman äärelle, katso jäljitysikkunaa ja etsi ja valitse POST-metodi, joka päättyy accauthlinktest (huom: tämä on ACS URL), kuten kuvassa.

    step6-saml
  7. Huomaa jäljitysikkunan alaosassa kolme suodatintyyppiä: HTTP, Parameters (Parametrit) ja SAML. Napsauta SAML suodattaaksesi SAML-vahvistukset, kuten kuvassa:

    rtaimage_11_
  8. Voit nyt tutkia näkyviin tulevaa tuotosta tai leikata ja liittää tekstieditoriin ja vahvistaa esimerkiksi seuraavat:

    a. Signature- (Allekirjoitus) ja Digest (Yhteenveto) -menetelmien hajautustasot: esimerkissä käytetään SHA-1:tä:

    rtaimage_12_

    b. Assertion Consumer Service (ACS) URL tai Reply URL.

    step8b-saml

    c. Issuer URL / Entity ID:

    rtaimage_15_

    d. 4 SAML -määritteen vahvistusta mukaan lukien niiden muoto ja arvo. 

    step8d-saml

    e. Vahvista X.509-varmenne, joka lähetetään IdP:n ja SP:n välillä.

    rtaimage_18_

    f. Varmista voimassa olevat sallitut Timeskew- tai SAML TTL (Time to Live, elinaika) -arvot.

    2018-02-05_10_1806-inbox-everittadobecom-outlook

Selvä, mitä sitten teen tuotoksella?

  • Tämä tuotos kokonaisuudessaan ilman muutoksia on lähetettävä Adoben asiakaspalveluun yhdessä muiden ongelmaa koskevien tietojen kanssa, kun ilmoitetaan oletettavasta SSO-ongelmasta.
  • SAML-vahvistuskenttien nimien, esimerkiksi NameID, Email, FirstName ja LastName, syntaksi on tärkeää SSO:n onnistumisen kannalta ja virheet siinä voidaan tarvittaessa nopeasti tunnistaa ja muokata asiakkaan IdP-määrittelyissä.
  • Jokaisen vahvistuksen arvot vahvistetaan myös Adobe-tilin nimen ja asiakkaan hakemistopalvelun tilin nimen (esimerkiksi Active Directory) välillä.
  • Kun SSO-ongelma on ratkaistu, suorita uusi SAML-jäljitys ja tallenna kopio tuotoksesta, jota voidaan myöhemmin käyttää esimerkkinä onnistuneesta SSO-kirjautumisesta ympäristössä.

Lisensoitu Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License -lisenssin mukaan.  Creative Commons -lisenssien ehdot eivät koske Twitter™- ja Facebook-viestejä.

Lakisääteiset ilmoitukset   |   Online-tietosuojakäytäntö