Este artículo ayuda a usar productos de disponibilidad pública para realizar un calco de SAML a fin de solucionar problemas de inicio de sesión único.

Entorno

Cliente con un dominio de Adobe federado e inicio de sesión único configurado.

Pasos

¿Qué es un calco de SAML?

SAML (Security Assertion Markup Language) es un estándar abierto de lenguaje de marcado para confirmaciones de seguridad y federación de identidades basado en XML que permite, entre otras funciones, el inicio de sesión único.

Cuando se crea un conector de SAML 2.0 en un servicio de IdP y se utiliza para iniciar sesión con una cuenta federada de Adobe, se produce un flujo de trabajo complejo en segundo plano que casi siempre resulta invisible para el usuario.

Parte de este flujo de trabajo es la aprobación y confirmación de cuatro atributos clave:

  • NameID
  • Email
  • Nombre
  • Apellido

Si estos atributos se aprueban correctamente, confirman la identidad del usuario que intenta iniciar sesión y crean una confianza federada entre un servicio de IdP y un proveedor de servicios de Adobe, y el servicio de sesión único se efectúa correctamente.

Si se produce un problema, los clientes y el personal de asistencia de Adobe encuentran útil poder controlar estas confirmaciones de SAML que tienen lugar entre el IdP y el proveedor de servicios.

Un calco de SAML muestra valores importantes como la confirmación de la URL del servicio de atención al cliente, la URL del emisor y los cuatro atributos clave de SAML 2.0.

¿Qué necesito para realizar un calco de SAML?

Los calcos de SAML están disponibles como complementos o extensiones que se descargan gratuitamente, y para los que no se requieren permisos especiales ni otros programas.

Estos son dos de los complementos más populares:

NavegadorFirefox Complemento SAML-tracerhttps://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Navegador Google ChromeExtensión SAML Chrome Panel:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en

¿Cómo se efectúa un calco de SAML?

Se recomienda instalar la extensión o el complemento en el sistema cliente con la cuenta de usuario que tiene el problema del inicio de sesión único. Los vínculos y los pasos proporcionados aquí eran correctos en el momento de la publicación.

De lo contrario, para las pruebas generales de inicio de sesión único, la extensión o el complemento se pueden instalar y ejecutar desde cualquier sistema cliente y en cualquier cuenta de usuario federada en la misma red.

En este caso, utilizamos el complemento Firefox SAML-tracer:

  1. Con el navegador Firefox, descargue e instale el complemento SAML-tracer desde el vínculo que se ha facilitado antes.

  2. Al completarse el proceso, observe el elemento de menú de color naranja del complemento SAML-tracer en la barra de menús de Firefox como se muestra a continuación:

    rtaimage_7_
  3. Haga clic en el elemento de menú del complemento SAML-tracer y en otro navegador de dos partes. La ventana de la extensión aparece como se muestra. La mitad superior de la ventana de la extensión muestra los métodos HTTP POST, GET y OPTIONS producidos en tiempo real. En la mitad inferior de la ventana de la extensión se muestra más información de cada método al hacerse clic.

    Nota: El funcionamiento mejora si se anula la selección de Autoscroll al efectuar análisis de SAML.

    rtaimage_8_
  4. Haga clic en las ventanas Trace y Main para verlas simultáneamente.  A continuación, vaya a www.adobe.com/es/ y haga clic en Iniciar sesión como se muestra:

    rtaimage_9_
  5. Continúe para proporcionar las credenciales de inicio de sesión de la cuenta de Adobe. Para ello, seleccione Enterprise ID cuando se le indique y observe los métodos HTTP POST, GET y OPTIONS que se despliegan arriba en la ventana Trace.

    Observe las etiquetas SAML naranja que de vez en cuando aparecen en la esquina superior derecha para indicar que se han aprobado confirmaciones de SAML.

  6. Tras completarse el inicio de sesión o si se ha efectuado la investigación del problema, examine la ventana Trace, busque y haga clic en el método POST que termina en accauthlinktest (es la URL de ACS) como se muestra.

    step6-saml
  7. Observe en la mitad inferior de la ventana Trace los tres tipos de filtros: HTTP, Parameters y SAML. Haga clic en SAML para filtrar las confirmaciones de SAML como se muestra:

    rtaimage_11_
  8. Ya puede inspeccionar el resultado tal como aparece, o cortar y pegar en un editor de texto y validar elementos tales como:

    a. Los niveles de hash del método Signature y Digest: SHA-1 se muestra en este ejemplo:

    rtaimage_12_

    b. La URL de Assertion Consumer Service (ACS) o URL de respuesta

    step8b-saml

    c. La URL del emisor o la identificación de la identidad:

    rtaimage_15_

    d. Las confirmaciones de los cuatro atributos de SAML con el formato y el valor 

    step8d-saml

    e. Valide el certificado X.509 que se aprueba entre el IdP y el proveedor de servicios

    rtaimage_18_

    f. Confirme los valores de Timeskew o SAML TTL

    2018-02-05_10_1806-inbox-everittadobecom-outlook

Entendido. ¿Qué se debe hacer a continuación con el resultado?

  • Cuando se informe al Servicio de atención al cliente de Adobe sobre un posible problema de inicio de sesión único, debe proporcionarse este resultado sin modificarlo, junto con otros detalles del problema.
  • La sintaxis y el uso de mayúsculas y minúsculas de los nombres de campos de confirmación de SAML, por ejemplo NameID, Email, FirstName y LastName, son imprescindibles para el inicio de sesión única correcto, y se pueden identificar y modificar fácilmente en una configuración de IdP si es preciso.
  • Los valores de cada confirmación también se validan entre el nombre de la cuenta de Adobe y el nombre de la cuenta del servicio de directorios, por ejemplo Active Directory.
  • Cuando se haya resuelto el problema del inicio de sesión único, vuelva a realizar un calco de SAML y guarde una copia del resultado, a fin de utilizarlo como referencia de inicio de sesión único correcto en el entorno.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea