この記事では、一般に公開されている製品を使用して SAML トレースを実行し、SSO のトラブルシューティングを行う手順について説明します。

環境

Adobe フェデレーションドメインと SSO が設定されているカスタマー。

手順

SAML トレースとは

セキュリティアサーションマークアップ言語(SAML)は、いくつかある機能のなかでも特にシングルサインオン(SSO)を有効にする、XML ベースの ID フェデレーション言語標準です。

カスタマーの ID プロバイダー(IdP)サービスにおいて SAML 2.0 コネクタが作成され、Adobe Federated アカウントでのログインに使用すると、ユーザーにはほとんど見えない複雑なワークフローがバックグラウンドで発生します。

このワークフローの一環として、以下の 4 つの主要な属性のパスとアサーションがあります:

  • NameID
  • Email
  • FirstName
  • LastName

これらの属性は、正しくパスされると、ログインを試行するユーザーの ID をアサートし、ID プロバイダー(IdP - カスタマーサービス)とサービスプロバイダー(SP - アドビサービス)間でフェデレーションされた信頼が構築され、SSO が成功します。

問題が発生した際に、IdP と SP の間で発生するこれらの SAML アサーションをトレースできることは、アドビのカスタマーおよびカスタマーサポートスタッフに役立ちます。

SAML トレースでは、アサーション消費者サービス URL、発行者 URL、4 つの主要な SAML 2.0 属性など、重要な値が示されます。

SAML トレースの実行に必要なもの

SAML Tracer は、インターネットブラウザーアドオン/拡張機能として利用でき、無償でダウンロードできます。また、特別な権限もその他のソフトウェアも必要ありません。

最も一般的なアドオンのうちの 2 つは以下のとおりです。

Firefox ブラウザー SAML Tracer アドオンhttps://addons.mozilla.org/ja/firefox/addon/saml-tracer/

Google Chrome ブラウザー SAML Chrome Panel ブラウザー拡張機能

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=ja

SAML トレースの実行手順

SSO に関する問題が発生しているユーザーアカウントで、Tracer をクライアントシステムにインストールして使用することをお勧めします。ここに記載するリンク情報および手順は、「公開の時点では正しい情報」としてご了承ください。

一般的な SSO テストに関する別の方法として、Tracer は、同じネットワーク上の任意のクライアントシステムおよび任意のフェデレーションユーザーアカウントからインストールして実行できます。

ここでは、例として、Firefox SAML Tracer アドオンを使用しています。

  1. Firefox ブラウザーを使用して、上記でご紹介したリンクを使用して、Firefox ブラウザー SAML Tracer アドオンをダウンロードしてインストールします。

  2. 完了したら、図のように、Firefox メニューバーに新しいオレンジ色の SAML Tracer アドオンメニューの要素が表示されます。

    rtaimage_7_
  3. SAML Tracer アドオンメニューの要素と新しい 2 つのパートから成るブラウザーをクリックします。図のように、トレースウィンドウが表示されます。トレースウィンドウの上半分には、リアルタイムに発生するローリング HTTP POST メソッド、GET メソッド、および OPTIONS メソッドが表示されます。トレースウィンドウの下半分には各メソッドの詳細があり、クリックすると表示されます。

    注: SAML 分析を実行する際に自動スクロールを選択解除すると、操作性が向上します。

    rtaimage_8_
  4. トレースウィンドウメインウィンドウをクリックして、両方を同時に表示させます。次に、www.adobe.com に移動し、「ログイン」をクリックします(図参照)。

    rtaimage_9_
  5. プロンプトが表示されたら、Enterprise ID を選択し、アドビアカウントのログイン認証情報を入力します。トレースウィンドウでロールアップして、HTTP POST メソッド、GET メソッド、および OPTIONS メソッドを確認します。

    時折に極端に右側に表示されるオレンジ色の SAML タグは、SAML アサーションがパスされていることを示します。

  6. ログインが完了した際に、または調査中の問題が発生した際に、トレースウィンドウを見て、accauthlinktest (注 - これは ACS URL です)で終わる POST メソッドの場所を確認してクリックします(図参照)。

    step6-saml
  7. トレースウィンドウの下半分には、HTTP、Parameters、SAML の 3 つのフィルタータイプがあります。SAML をクリックして、SAML アサーションをフィルタリングします(図参照)。

    rtaimage_11_
  8. ここで、表示される出力を検証するか、またはテキストエディターにカットアンドペーストして、以下のような項目を検証できます。

    a. 署名とダイジェストメソッドのハッシュレベル:この例では、SHA-1 が表示されます。

    rtaimage_12_

    b. アサーション消費者サービス(ACS) URL、別名 返信 URL

    step8b-saml

    c. 発行者 URL / エンティティ ID

    rtaimage_15_

    d. 4 SAML 属性アサーション(フォーマット、値など)

    step8d-saml

    e. Idp と SP 間でパスされる X.509 証明書の検証

    rtaimage_18_

    f. 現在許可されている Timeskew 値、または SAML TTL (Time-To-Live)値の確認

    2018-02-05_10_1806-inbox-everittadobecom-outlook

OK、わかりました。それで、出力はどう処理しますか?

  • 疑わしい SSO 問題の報告に際しては、問題に関する他の詳細情報と併せて、この出力をそっくりそのまま修正なしで Adobe Customer Care に提出していただきます。
  • SAML アサーションフィールド名のケース構文(NameID、Email、FirstName、LastName など)は、SSO の成功に不可欠であり、必要に応じて、カスタマーの IdP 構成で迅速に特定して変更できます。
  • また、各アサーションの値は、Adobe アカウント名とカスタマーディレクトリサービスアカウント名(Active Directory など)の間でも検証されます。
  • SSO に関する問題が解決したら、新たに SAML トレースを実行し、成功した SSO ログインの参照として使用する出力のコピーを環境に保管します。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー