В этой статье описывается использование общедоступных продуктов для выполнения трассировки SAML для устранения неполадок единого входа (SSO).

Среда

Клиент с настроенным доменом Adobe Federated и единым входом.

Этапы

Что такое трассировка SAML?

Язык разметки декларации безопасности (SAML) — это основанный на XML стандарт языка федерации удостоверений, который, помимо прочего, обеспечивает функции единого входа (SSO).

Когда в службе поставщика удостоверений (IdP) создается соединитель SAML 2.0, который используется для входа в учетную запись Adobe Federated, в фоновом режиме выполняется сложный технологический процесс, который в основном невидим для пользователя.

Частью этого технологического процесса является передача и утверждение четырех основных атрибутов:

  • Идентификатор имени
  • Электронная почта
  • Имя
  • Фамилия

При правильной передаче этих атрибутов они «утверждают» личность пользователя, пытающегося войти в систему и создающего федеративные отношения доверия между поставщиком удостоверений (IdP — служба клиента) и поставщиком услуг (SP — служба Adobe), и единый вход успешно выполняется.

Когда возникает проблема, клиентам Adobe и сотрудники службы поддержки стоит иметь возможность отслеживать эти утверждения SAML между IdP и SP.

Трассировка SAML показывает важные значения, такие как URL-адрес службы обработчика утверждений, URL-адрес издателя и четыре основных атрибута SAML 2.0.

Что нужно для выполнения трассировки SAML?

Трассировщики SAML доступны в виде дополнений/расширений браузеров, которые можно бесплатно загрузить без специальных разрешений или другого программного обеспечения.

Два наиболее популярных расширения:

Браузер Firefox: дополнение SAML Tracerhttps://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Браузер Google Chrome: расширение браузера SAML Chrome Panel:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=ru

Как выполнить трассировку SAML?

Рекомендуется установить и использовать трассировщик в клиентской системе с учетной записью пользователя, в которой наблюдаются проблемы с единым входом. Обратите внимание, что ссылки и действия, приведенные здесь, актуальны на время публикации.

В противном случае для общего тестирования единого входа (SSO) трассировщик можно установить и запустить на любой клиентской системе с любой учетной записи интегрированного пользователя в той же сети.

В данном примере используется дополнение SAML Tracer для Firefox:

  1. Воспользуйтесь браузером Firefox для загрузки и установки дополнения SAML Tracer по ссылке выше.

  2. По завершении обратите внимание на новый оранжевый элемент дополнения SAML tracer в строке меню Firefox:

    rtaimage_7_
  3. Нажмите элемент меню дополнения SAML tracer и новый двухкомпонентный браузер. Появится окно трассировки. В верхней части окна трассировки отображаются текущие методы HTTP POST, GET и OPTIONS, выполняемые в реальном времени. В нижней части окна трассировки при нажатии отображаются расширенные сведения о каждом методе.

    Примечание. Отмена выбора автопрокрутки при выполнении анализа SAML положительно отражается на процессе.

    rtaimage_8_
  4. Нажмите Окно трассировки и Главное окно, чтобы они оба отображались одновременно.  Перейдите по адресу www.adobe.com/ru и нажмите Войти, как показано ниже:

    rtaimage_9_
  5. Перейдите к предоставлению учетных данных Adobe, выбрав Enterprise ID при запросе, и обратите внимание на методы HTTP POST, GET и OPTIONS в окне трассировки.

    Обратите внимание на периодические оранжевые метки SAML у правого края, указывающие на прохождение утверждений SAML.

  6. Когда вход будет выполнен или приведет к появлению исследуемой проблемы, просмотрите окно трассировки и найдите и нажмите метод POST, заканчивающийся на accauthlinktest (это URL-адрес ACS), как показано ниже.

    step6-saml
  7. В нижней части окна трассировки расположены три типа фильтров: HTTP, Параметры и SAML. Нажмите SAML, чтобы отфильтровать утверждения SAML, как показано ниже:

    rtaimage_11_
  8. Теперь вы можете проверять вывод по мере его появления или вырезать и вставлять в текстовый редактор для проверки таких элементов, как:

    а. Уровни хэширования метода подписи и дайджеста: SHA-1 показан в этом примере:

    rtaimage_12_

    b. URL-адрес службы обработчика утверждений, также известный как URL-адрес ответа

    step8b-saml

    с. URL-адрес издателя / Идентификатор объекта:

    rtaimage_15_

    d. Утверждения 4 атрибутов SAML, включая их формат и значение

    step8d-saml

    е. Проверка передачи сертификата X.509 между Idp и SP

    rtaimage_18_

    f. Подтверждение текущих допустимых значений сдвига по времени или срока жизни SAML

    2018-02-05_10_1806-inbox-everittadobecom-outlook

Что потом делать с выводом?

  • Этот вывод в полном объеме без каких-либо изменений следует предоставить вместе с другими сведениями в службу поддержки клиентов Adobe при сообщении о потенциальной проблеме единого входа (SSO).
  • Синтаксис регистра имен полей утверждения SAML, например Идентификатора имени, Электронной почты, Имени и Фамилии, имеет важное значение для успешного выполнения единого входа (SSO) и может быть быстро идентифицирован и изменен в конфигурации IdP клиента, если это необходимо.
  • Значения каждого утверждения также проверяются между именем учетной записи Adobe и именем учетной записи службы каталогов клиента (например, Active Directory).
  • После устранения проблемы единого входа (SSO) выполните новую трассировку SAML и сохраните копию вывода, которая будет использоваться в качестве отправной точки успешного единого входа (SSO) в среде.

Эта работа лицензируется в соответствии с лицензией Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported  На посты, размещаемые в Twitter™ и Facebook, условия Creative Commons не распространяются.

Правовые уведомления   |   Политика конфиденциальности в сети Интернет