Il linguaggio SAML (Security Assertion Markup Language) è uno standard di linguaggio di federazione delle identità basato su XML che, tra le altre funzionalità, consente Single Sign On (SSO).
Quando viene creato un connettore SAML 2.0 nel servizio IdP (Identity Provider) di un cliente e viene utilizzato per accedere con un account Adobe Federated, si verifica un flusso di lavoro complesso in background, che per lo più è invisibile all'utente.
Parte di questo flusso di lavoro è il passaggio e l’asserzione di quattro attributi chiave:
- NameID
- Nome
- Cognome
Quando questi attributi vengono passati correttamente, "asseriscono" l'identità dell'utente che tenta di accedere e creano un’attendibilità federata tra un fornitore di identità (IdP - servizio clienti) e un fornitore di servizi (SP - servizio Adobe) e SSO riesce.
Quando c'è un problema, è utile che i clienti e il personale di assistenza clienti di Adobe siano in grado di tracciare queste asserzioni SAML che si verificano tra IdP e SP.
Una traccia SAML mostra valori importanti come l'URL del servizio clienti di asserzione, l'URL dell'emittente e quattro attributi SAML 2.0 chiave.
I tracer SAML sono disponibili sotto forma di componenti aggiuntivi/estensioni del browser Internet, sono scaricabili gratuitamente e non richiedono autorizzazioni speciali o altro software.
Due dei componenti aggiuntivi più popolari sono i seguenti:
Browser Firefox Componente aggiuntivo tracer SAML: https://addons.mozilla.org/it/firefox/addon/saml-tracer/
Browser Google Chrome Estensione browser pannello SAML Chrome :
https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en
Si consiglia di installare e utilizzare il tracer sul sistema client con l'account utente che sta riscontrando il problema SSO. Notare che i collegamenti e i passaggi forniti qui erano corretti al momento della pubblicazione.
In caso contrario, per il test SSO generale, il tracer può essere installato ed eseguito da qualsiasi sistema client e qualsiasi account utente federato sulla stessa rete.
Stiamo utilizzando il componente aggiuntivo SAML Tracer di Firefox, ad esempio qui:
-
Fai clic sull’elemento del menu dei componenti aggiuntivi SAML tracer e un nuovo browser in due parti. La finestra di traccia viene visualizzata come mostrato. La metà superiore della finestra di traccia mostra i metodi HTTP POST, GET e OPTIONS che vengono eseguiti in tempo reale. La metà inferiore della finestra di traccia mostra i dettagli espansi di ciascun metodo quando viene si fa clic su di esso.
Nota: se si deseleziona lo scorrimento automatico quando si esegue l'analisi SAML migliora l’esperienza utente migliora.
-
Fornire le credenziali di accesso dell'account Adobe selezionando Enterprise ID quando richiesto. Vengono visualizzati i metodi HTTP POST, GET e OPTIONS che si spostano verso l'alto nella finestra di traccia.
Vengono visualizzati i tag SAML arancioni occasionali mostrati all'estrema destra che indicano che le asserzioni SAML sono riuscite.
- Questo output nella sua interezza senza alcuna modifica dovrebbe essere fornito insieme ad altri dettagli del problema ad Adobe Customer Care quando si segnala un problema sospetto di SSO.
- La sintassi del caso dei nomi dei campi di asserzione SAML, ad esempio: NameID, Email, FirstName e LastName, è fondamentale per il superamento di SSO e possono essere rapidamente identificati e modificati nella configurazione IdP del cliente quando richiesto.
- I valori di ciascuna asserzione sono convalidati anche tra il nome dell'account Adobe e il nome dell'account del servizio Directory del cliente (ad esempio: Active Directory).
- Una volta che il problema SSO è stato risolto, esegui una nuova traccia SAML e salva una copia dell'output da utilizzare come riferimento di un accesso SSO riuscito nell'ambiente.