本文可協助您使用可公開取得之產品來執行 SAML 追蹤,以便疑難排解 SSO。

環境

已設定同盟 Adobe 網域和 SSO 的客戶。

步驟

什麼是 SAML 追蹤?

安全性判斷提示標記語言 (SAML) 是以 XML 為基礎的身分識別同盟語言標準,具有啟用單一登入 (SSO) 和其他功能.

當 SAML 2.0 連接器在客戶的身分提供者 (IdP) 服務中建立並用來登入 Adobe 同盟帳戶時,使用者多半不會看到發生在背景中複雜的工作流程。

此工作流程有一部分是傳遞和判斷提示四項關鍵屬性:

  • NameID
  • Email
  • FirstName
  • LastName

當這些屬性獲得正確的傳遞時,會「判斷提示」嘗試登入的使用者的身分,並在身分提供者 (IdP - 客戶服務) 和服務提供者 (SP - Adobe 服務) 之間建立同盟信任,就能成功進行 SSO。

如果發生任何問題,Adobe 的客服和客戶支援人員就可以追蹤發生在 IdP 和 SP 之間的 SAML 判斷提示。

SAML 追蹤會顯示重要的値,例如判斷提示客戶服務 URL、發行者 URL 以及四項主要的 SAML 2.0 屬性。

我需要做什麼才能執行 SAML 追蹤?

SAML 追蹤以網際網路瀏覽器附加元件/擴充功能的形式提供免費下載,無需特殊權限或其他軟體。

兩種最熱門的附加元件:

Firefox 瀏覽器 SAML 追蹤附加元件https://addons.mozilla.org/zh-TW/firefox/addon/saml-tracer/

Google Chrome 瀏覽器 SAML Chrome 面板瀏覽器擴充功能:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=zh-tw

要如何執行 SAML 追蹤?

建議透過發生 SSO 問題的使用者帳戶,在用戶端系統上安裝和使用追蹤功能。請注意,這裡提供的連結和步驟於發佈時乃是正確無誤的。

此外,若要進行一般的 SSO 測試,則可從任何用戶端系統與任何位於相同網路的同盟使用者帳戶安裝和執行追蹤功能。

如以下範例所示,我們使用的是Firefox SAML Tracer 附加元件:

  1. 透過上文提供的連結使用Firefox 瀏覽器下載和安裝 Firefox 瀏覽器 SAML Tracer 附加元件。

  2. 完成後,請注意在 Firefox 選單列上出現的橘色 SAML Tracer 附加元件選單元素,如下所示:

    rtaimage_7_
  3. 按一下 SAML Tracer 附加元件選單元素以及新的兩部分瀏覽器。以下所示的追蹤視窗隨即顯示。追蹤視窗上半部輪流顯示即時發生的「HTTP POST」、「GET」及「OPTIONS」方法。追蹤視窗下半部顯示在點選每一個方法後展開的詳細資料。

    注意: 在執行 SAML 分析時「取消選取」自動捲動可改善您的體驗。

    rtaimage_8_
  4. 按一下「追蹤視窗」「主視窗」即可同時檢視二者。  然後導覽至 www.adobe.com/tw/ 並按一下「登入」,如下所示:

    rtaimage_9_
  5. 繼續提供 Adobe 帳戶憑證,在出現提示時選取「 Enterprise ID 」,並注意在「追蹤視窗」中向上輪流顯示的「HTTP POST」、「GET」及「OPTIONS」方法。

    注意,偶爾出現的橘色 SAML 標記會顯示在最右邊,指出正在傳遞的 SAML 判斷提示。

  6. 登入完成,或導致問題遭到調查時,請查看「追蹤視窗」,找到並 按一下以 accauthlinktest 結尾的 POST 方法 (注意 - 這是 ACS URL),如畫面所示。

    step6-saml
  7. 注意追蹤視窗下半部三個篩選類型「HTTP」、「參數」及「SAML」。按一下「SAML」即可篩選 SAML 判斷提示,如下所示:

    rtaimage_11_
  8. 您現在可以在輸出內容顯示時加以檢查,或剪貼至文字編輯器並驗證以下項目:

    a.「簽署和摘要」方法雜湊層級: SHA-1,如此範例所示:

    rtaimage_12_

    b. 判斷提示客戶服務(ACS) URL,亦即回覆 URL

    step8b-saml

    c. 發行者 URL / 實體 ID:

    rtaimage_15_

    d. 4 項 SAML 屬性判斷提示 (包括其格式與值)

    step8d-saml

    e. 驗證在 Idp 和 SP 之間傳遞的 X.509 憑證

    rtaimage_18_

    f. 確認目前允許的 Timeskew 或 SAML TTL (存留時間) 值

    2018-02-05_10_1806-inbox-everittadobecom-outlook

很好,我接下來要如何處理輸出內容?

  • 在報告可疑的 SSO 問題時,請將此未經修改的完整輸出內容連同問題的其他詳細資料,提供給 Adobe 客戶服務。
  • SAML 判斷提示欄位名稱的語法 (例如: NameID、Email、FirstName 及 LastName) 對成功執行 SSO 極其重要;必要時,並且可以在客戶的 IdP 設定中迅速找出和修改。
  • 每個判斷提示的值也可以與 Adobe 帳戶名稱和客戶目錄服務帳戶名稱 (例如: Active Directory) 之間進行驗證。
  • 在 SSO 問題解決後,請執行全新的 SAML 追蹤並儲存輸出複本,以用來做為在該環境中成功執行 SSO 登入的參考。

此産品由 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 授權  Creative Commons 條款未涵蓋 Twitter™ 與 Facebook 文章。

法律說明   |   線上隱私權政策