Bu makale, SSO sorunlarını gidermek için SAML İzi gerçekleştirmeye yönelik genel kullanıma sunulan ürünlerin kullanımı konusunda size yardımcı olacaktır.

Ortam

Federated Adobe etki alanına ve yapılandırılmış SSO'ya sahip müşteri.

Adımlar

SAML İzi nedir?

Security Assertion Markup Language (SAML), sahip olduğu diğer özelliklerin yanı sıra, Tek Oturum Açmaya (SSO) olanak tanıyan XML tabanlı bir kimlik federasyonu dil standardıdır.

Bir müşterinin Kimlik Sağlayıcısında (IdP) bir SAML 2.0 bağlayıcısı oluşturulduğunda ve bir Adobe Federated hesabı ile oturum açmak için kullanıldığında arka planda genellikle kullanıcıya görünmeyen karmaşık bir iş akışı gerçekleşir.

Bu iş akışının bir kısmı, dört temel özniteliğin geçirilmesi ve önerilmesidir:

  • NameID
  • Email
  • Ad
  • Soyadı

Bu öznitelikler doğru bir şekilde geçirildiğinde oturum açmaya çalışan kullanıcının kimliğini "önerir" ve bir Kimlik Sağlayıcı (IdP - Müşteri hizmetleri) ile Hizmet Sağlayıcı (SP - Adobe hizmeti) arasında federated güven oluşturur. Böylece SSO başarılı olur.

Bir sorun olduğunda Adobe müşterilerinin ve müşteri desteği çalışanlarının IdP ile SP arasında gerçekleşen bu SAML önermelerini izleyebilmesi faydalıdır.

SAML İzi; Onay Belgesi Tüketici Hizmeti URL'si, Düzenleyici URL'si ve dört temel SAML 2.0 özniteliği gibi önemli değerleri gösterir.

SAML İzi gerçekleştirmek için neye ihtiyacım vardır?

SAML izleyicileri, İnternet Tarayıcı Eklentileri şeklinde kullanılabilir/Uzantılar ücretsiz olarak indirilebilir ve özel izin veya başka yazılım gerektirmez.

En popüler Eklentilerden iki tanesi şunlardır:

Firefox tarayıcı SAML Tracer Eklentisihttps://addons.mozilla.org/tr/firefox/addon/saml-tracer/

Google Chrome tarayıcı SAML Chrome Panel Browser Uzantısı:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=tr

Nasıl SAML İzi gerçekleştirebilirim?

Tracer'ın SSO sorununun yaşandığı kullanıcı hesabıyla müşteri sisteminde yüklenip kullanılması önerilir. Burada verilen bağlantıların ve adımların yayınlama sırasında geçerli olduğunu unutmayın.

Diğer zamanlarda genel SSO testi için Tracer, herhangi bir müşteri sisteminden ve aynı ağ üzerindeki herhangi bir Federated kullanıcı hesabından yüklenip çalıştırılabilir.

Burada örnek olarak Firefox SAML Tracer Eklentisini kullanıyoruz:

  1. Firefox tarayıcıyı kullanarak, daha önce verilen bağlantı aracılığıyla Firefox tarayıcı için SAML Tracer Eklentisini indirip yükleyin.

  2. İşlem tamamlandığında, gösterildiği şekilde Firefox menüsündeki turuncu renkli yeni SAML Tracer Eklentisi menü öğesine dikkat edin:

    rtaimage_7_
  3. SAML Tracer Eklentisi menü öğesine ve iki bölümlü yeni tarayıcıya tıklayın. Trace penceresi burada gösterildiği şekilde görünür. Trace Penceresinin üstteki yarısı, gerçek zamanlı olarak gerçekleşen, sıralanmış HTTP POST, GET ve OPTIONS yöntemlerini gösterir. Trace Penceresinin alttaki yarısı ise tıklandığında her yöntemin genişletilmiş ayrıntılarını gösterir.

    Not: SAML analizi gerçekleştirirken Otomatik Kaydırma seçeneğinin kaldırılması deneyiminizi iyileştirir.

    rtaimage_8_
  4. Trace Penceresinin ve Ana Pencerenin aynı anda görüntülenebilmesi için her ikisine de tıklayın.  Ardından www.adobe.com adresine gidin ve gösterildiği şekilde Giriş Yap'a tıklayın:

    rtaimage_9_
  5. İstendiğinde Enterprise ID'yi seçerek Adobe hesabı oturum açma kimlik bilgilerini sağlamak üzere işleme devam edin ve Trace Penceresinin yukarısında sıralanan HTTP POST, GET ve OPTIONS yöntemlerine dikkat edin.

    SAML önermelerinin geçirildiğini belirtmesi için en sağda aralıklı olarak gösterilen turuncu renkli SAML etiketlerine dikkat edin.

  6. Oturum açma tamamlandığında veya araştırılmakta olan soruna ulaşılmasını sağladığında Trace Penceresine bakın ve gösterildiği gibi accauthlinktest ile biten POST yöntemini bulup buna tıklayın. (Not: Bu ACS URL'sidir.)

    step6-saml
  7. Trace Penceresinin alttaki yarısında üç filtre türü olan HTTP, Parametreler ve SAML'ye dikkat edin. SAM önermelerini burada gösterildiği şekilde filtrelemek için SAML'ye tıklayın:

    rtaimage_11_
  8. Artık çıktıyı göründüğü anda inceleyebilir veya kesip bir metin düzenleyiciye yapıştırarak şunun gibi öğeleri doğrulayabilirsiniz:

    a. İmza ve Özet yöntemi karma düzeyleri: SHA-1 şu örnekte gösterilmektedir:

    rtaimage_12_

    b. Onay Belgesi Tüketici Hizmeti (ACS) URL'si (Yanıt URL'si olarak da bilinir)

    step8b-saml

    c. Düzenleyici URL'si/Varlık Kimliği:

    rtaimage_15_

    d. Biçimleri ve değerleri de dahil olmak üzere 4 SAML özniteliği önermesi 

    step8d-saml

    e. IdP ile SP arasında geçirilen X.509 Sertifikasını doğrulama

    rtaimage_18_

    f. İzin verilen geçerli Saat Farkı veya SAML TTL (Yaşam Süresi) değerlerini onaylama

    2018-02-05_10_1806-inbox-everittadobecom-outlook

Peki şimdi çıktıyla ne yapmalıyım?

  • Şüpheli bir SSO sorununu bildirirken bu çıktı, sorunun diğer ayrıntılarıyla birlikte değişiklik yapılmadan bütün halinde Adobe Müşteri Hizmetlerine sunulmalıdır.
  • NameID, Email, FirstName ve LastName gibi SAML önerme alanı adlarının büyük/küçük harf sözdizimi, SSO'nun başarılı olması açısından kritik önem taşır ve gerekli olduğunda bir müşterinin IdP yapılandırmasında hızlıca tanımlanıp değiştirilebilir.
  • Her bir önermenin değerleri aynı zamanda Adobe hesabının adı ile müşteri Dizini hizmet hesabının adı (örneğin, Active Directory) arasında da doğrulanır.
  • SSO sorunu çözüldükten sonra yeni bir SAML izi gerçekleştirin ve ortamdaki başarılı bir SSO oturum açma örneğinin referansı olarak kullanmak için çıktının bir kopyasını kaydedin.

Bu çalışma Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License kapsamında lisanslanmıştır  Creative Commons şartları, Twitter™ ve Facebook sitelerinde paylaşılanları kapsamaz.

Yasal Uyarılar   |   Çevrimiçi Gizlilik İlkesi