Denna artikel hjälper dig att använda allmänt tillgängliga produkter för att genomföra en SAML Trace för att felsöka SSO.

Miljö

Kund med en Federated Adobe-domän och SSO konfigurerat.

Steg

Vad är en SAML Trace?

Security Assertion Markup Language (SAML) är en XML-baserad Identity federation-språkstandard som bland annat möjliggör Single Sign On (SSO).

När en SAML 2.0-kontakt skapas i en kunds identitetsleverantörs (IdP) tjänst och används för att logga in med ett Adobe Federated-konto körs ett komplext arbetsflöde i bakgrunden som nästan är osynligt för användaren.

Delar av detta arbetsflöde är godkännande och försäkran av fyra nyckelattribut:

  • Namn-ID
  • E-post
  • Förnamn
  • Efternamn

När dessa attribut godkänns korrekt ”kontrollerar” de identiteten för användaren som försöker logga in och skapar ett förenat förtroende mellan en identitetsleverantör (IdP - kundtjänst) och en tjänsteleverantör (SP - Adobe-tjänst) och SSO lyckas.

När det blir problem är det till hjälp för Adobes kunder och kundtjänstpersonalen att kunna spåra dessa SAML-kontroller som sker mellan IdP och SP.

En SAML Trace visar viktiga värden, såsom kontrollkonsumentens tjänst-URL, utfärdar-URL och fyra nyckelattribut för SAML 2.0.

Vad ska jag göra för att genomföra en SAML Trace?

SAML-spårare finns tillgängliga i form av webbläsartillägg som är gratis att ladda ner och som inte kräver några särskilda behörigheter eller ytterligare programvara.

Två av de mest populära tilläggen är:

Firefox webbläsare SAML Tracer Add Onhttps://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Google Chrome webbläsare SAML Chrome Panel Browser Extension:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=sv

Vad ska jag göra för att köra en SAML Trace?

Vi rekommenderar att du installerar och använder spåraren på klientsystemet med det användarkonto som har SSO-problemet. Observera att länkarna och stegen som tillhandahålls här var korrekta vid tiden för publiceringen.

När man ska använda spåraren till allmän SSO-testning kan den installeras och köras från alla klientsystem och alla Federated-användarkonton på samma nätverk.

Vi använder Firefox SAML Tracer-tilläggskomponenten till exempel här:

  1. Du kan använda Firefox-webbläsaren till att hämta och installera SAML Tracer-tillägget för Firefox via den länk som tillhandahölls tidigare.

  2. När det är klart ska du lägga märke till den nya orangea tilläggsmenyelementet för SAML-spåraren i menyfältet som på bilden:

    rtaimage_7_
  3. Klicka på menyelementet för spårartillägget till SAML och en ny tudelad webbläsare. Trace-fönstret visas som på bilden. Den övre halvan av Trace-fönstret visar de rullande HTTP POST-, GET- och OPTIONS-metoderna som förekommer i realtid. Den nedre halvan av Trace-fönstret visar expanderad information för varje metod när man klickar på dem.

    Obs: Avmarkering Autorullning när du genomför SAML-analys förbättrar din upplevelse.

    rtaimage_8_
  4. Klicka på Trace-fönstret och Huvudfönstret så att båda visas samtidigt.  Gå sedan till www.adobe.com och klicka på Logga in som på bilden:

    rtaimage_9_
  5. Gå vidare för att tillhandahålla inloggningsuppgifter för Adobe-kontot genom att välja Enterprise ID när du anmodas och observera HTTP POST-, GET- och OPTIONS-metoderna som rullar uppåt i Trace-fönstret.

    Observera att orangea SAML-taggar då och då visas allra längst till höger. Dessa indikerar SAML-kontroller som blir godkända.

  6. När inloggningen har slutförts eller har resulterat i ankomst till problemet som undersöks, titta på Trace-fönstret och lokalisera och klicka på metoden POST som slutar i accauthlinktest(Obs - detta är ACS URL:en) som på bilden.

    step6-saml
  7. Observera den nedre halvan av Trace-fönstret, de tre filtertypernas HTTP, parametrarna och SAML. Klicka på SAML för att filtrera SAML-kontrollerna som på bilden:

    rtaimage_11_
  8. Nu kan du inspektera resultaten när de visas eller klippa ut och klistra in i ett textredigeringsprogram och validera artiklar som:

    a. Signatur och Digest-metodens hashing-nivåer: SHA-1 visas i detta exempel:

    rtaimage_12_

    b. ACS (Assertion Consumer Service) URL dvs. Svars-URL

    step8b-saml

    c. Utfärdar-URL/Enhets-ID:

    rtaimage_15_

    d. 4 SAML-attributkontroller inklusive deras format och värde

    step8d-saml

    e. Validera X.509-certifikatet som godkänns mellan IdP och SP

    rtaimage_18_

    f. Bekräfta de för närvarande godkända Timeskew- eller SAML TTL-värdena (Time-To-Live)

    2018-02-05_10_1806-inbox-everittadobecom-outlook

Ok, fint. Men vad ska jag göra med resultaten?

  • Resultatet ska i sin helhet utan modifieringar skickas tillsammans med övrig information om problemet till Adobes kundtjänst när du rapporterar ett misstänkt SSO-problem.
  • Ärendesyntaxen för SAML-kontrollfältens namn, till exempel: Namn-ID, E-post, Förnamn och Efternamn, är viktiga för att SSO ska fungera och kan snabbt identifieras och modifieras i en kunds IdP-konfiguration när det behövs.
  • Värdena för varje kontroll valideras även mellan Adobe-kontonamnet och kundens kontonamn på katalogtjänsten (till exempel: Active Directory).
  • När SSO-problemet har lösts ska du genomföra en ny SAML-spårning och spara en kopia av resultatet som referens för en lyckad SSO-inloggning i miljön.

Denna produkt är licensierad enligt en Creative Commons Erkännande-Ickekommersiell-Dela Lika 3.0 Unported-licens  Twitter™- och Facebook-inlägg omfattas inte av villkoren i Creative Commons-licensen.

Juridiska meddelanden   |   Onlinesekretesspolicy