Denne artikkelen forklarer hvordan du bruker offentlige produkter til å kjøre en SAML-sporing for å feilsøke SSO.

Miljø

Kunde med et Federated Adobe-domene og SSO konfigurert.

Fremgangsmåte

Hva er en SAML-sporing?

Security Assertion Markup Language (SAML) er en XML-basert språkstandard for federering av identitet, som blant annet gjør det mulig å aktivere Enkel pålogging (SSO).

Når en SAML 2.0-kontakt er opprettet i en kundes IdP-tjeneste (Identity Provider) og brukes til å logge på med en Adobe Federated-konto, kjører en komplisert arbeidsflyt i bakgrunnen. Denne er for det meste usynlig for brukeren.

En del av denne arbeidsflyten går ut på overføring og deklarasjon av fire viktige attributter:

  • NameID
  • E-post
  • FirstName
  • LastName

Når disse attributtene er riktig overført, «deklarerer» de identiteten til brukeren som prøver å logge på og opprette en forent tillit mellom en identitetsleverandør (IdP-kundeservice) og en tjenesteleverandør (SP-Adobe-tjeneste) og SSO.

Når det oppstår et problem, er det nyttig for Adobes kunder og kundeservice å kunne spore disse SAML-påstandene som utveksles mellom IdP og SP.

En SAML-sporing viser viktige verdier, for eksempel URL-adressen til en forbrukertjeneste eller en utsteder, samt fire viktige SAML 2.0-attributter.

Hva trenger jeg for å kjøre en SAML-sporing?

SAML-sporingsprogrammer er tilgjengelige i form av lesertillegg og leserutvidelser. De kan lastes ned gratis og krever ingen spesielle tillatelser eller annen programvare.

To av de mest populære tilleggene er:

Firefox SAML Tracer-tillegg: https://addons.mozilla.org/no/firefox/addon/saml-tracer/

Google ChromeLeserutvidelse for SAML Chrome-panel:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=no

Hvordan kjører jeg en SAML-sporing?

Vi anbefaler at du installerer og bruker sporingsprogrammet på klientsystemet med brukerkontoen der SSO-problemet oppsto. Sjekk om koblingene og trinnene som ble oppgitt her, var riktige ved publiseringstidspunktet.

For generelle SSO-testingsformål kan Tracer installeres og kjøres fra et vilkårlig klientsystem og en annen federert brukerkonto på samme nettverk.

Vi bruker SAML-sporingstillegget for Firefox. Se dette eksemplet:

  1. Bruk Firefox for å laste ned og installere SAML-sporingstillegget for Firefox via koblingen som ble oppgitt tidligere.

  2. Når du er ferdig, vil du se det nye oransje tilleggsmenyelementet for SAML-sporing på menylinjen i Firefox, som vist nedenfor:

    rtaimage_7_
  3. Klikk på tilleggsmenyelementet for SAML-sporing og en ny todelt nettleser. Sporvinduet vises som vist nedefor. Den øvre delen av sporingsvinduet viser de rullerende metodene HTTP POST, GET og OPTIONS som oppstår i sanntid. Den nedre delen av sporingsvinduet viser utvidede detaljer for hver metode når du klikker på den.

    Merk: Hvis du fjerner AutoScroll når du utfører SAML-analyser, får du en bedre brukeropplevelse.

    rtaimage_8_
  4. Klikk på Sporingsvinduet og Hovedvinduet slik at begge vises samtidig.  Gå deretter til www.adobe.com og klikk på Logg på som vist:

    rtaimage_9_
  5. Fortsett med å angi påloggingsinformasjon for Adobe-kontoen ved å velge Enterprise ID når du blir bedt om det. Observer at metodene HTTP POST, GET og OPTIONS ruller oppover i sporingsvinduet.

    Sjekk om de sporadiske oransje SAML-kodene som vises lengst til høyre og angir SAML-påstander, er godkjente.

  6. Når påloggingen er fullført eller har resultert i at problemet blir etterforsket, går du til sporingsvinduet og klikker på POST-metoden som slutter på accauthlinktest (merk - dette er ACS-URLen) som vist.

    step6-saml
  7. Nederst i Sporingsvinduet finner du de tre filtertypene HTTP, Parametre og SAML. Klikk på SAML for å filtrere SAML-påstander som vist:

    rtaimage_11_
  8. Du kan nå inspisere utdataene slik de vises, eller klippe ut og lime dem inn i et tekstredigeringsprogram og validere elementer som for eksempel:

    a. Signatur- og Digest-metodens hash-nivåer: SHA-1 vises i dette eksemplet:

    rtaimage_12_

    b. URL-adressen til Assertion Consumer Service (ACS) dvs. URL-adressen for svar

    step8b-saml

    c. Utsteder-URL / Entity ID :

    rtaimage_15_

    d. Attributtpåstandene for 4 SAML, inkludert deres format og verdi

    step8d-saml

    e. Bekreft at X.509-sertifikatet sendes mellom Idp og SP

    rtaimage_18_

    f. Bekreft gjeldende tillatte verdier for Timekew eller SAML TTL (Time-To-Live)

    2018-02-05_10_1806-inbox-everittadobecom-outlook

OK, hva gjør jeg med utgangen?

  • Når du rapporterer et antatt SSO-problem, skal disse utdataene skal sendes til Adobes kundestøtte i sin helhet, uten endringer, sammen med andre detaljer om problemet.
  • Saksyntaksen til feltnavn for SAML-påstander, for eksempel: Navne-ID, E-post, Fornavn og Etternavn, er avgjørende for at SSO skal være vellykket, og kan raskt identifiseres og endres i kundens IdP-konfigurasjon når det er nødvendig.
  • Verdiene for hver påstand blir også validert mellom navnet på Adobe-kontoen til navnet på Directory-tjenestekontoen (for eksempel: Active Directory).
  • Når SSO-problemet er løst, kjører du en ny SAML-sporing og lagrer en kopi av utdataene som skal brukes som referanse ved vellykket SSO-pålogging i det aktuelle miljøet.

Dette produktet er lisensiert i henhold til Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Innlegg på Twitter™ og Facebook dekkes ikke av Creative Commons-vilkår.

Juridiske merknader   |   Regler for personvern på nettet