Teile dieser Seite wurden möglicherweise maschinell übersetzt.

Identifizieren von Problemen in einer SAML Assertion

Befolgen Sie die Anweisungen in diesem Artikel, um potenzielle Probleme in Ihrer SAML Assertion zu identifizieren.

Wer kann das nutzen?

Pläne:

  • Enterprise

Berechtigungen:

  • Systemadmin

Finden Sie heraus, ob diese Funktion in Smartsheet-Regionen oder Smartsheet Gov enthalten ist.

Voraussetzungen

Zunächst müssen Sie die Assertion erfassen. Weitere Informationen dazu.


Schritt 1: Bereinigen der XML-Datei (optional)

Die XML-Assertionsdatei kann als Textwand erscheinen, was es schwierig macht, die gesuchten Elemente zu finden.

  1. Kopieren Sie den Text der Assertion und gehen Sie zu xmlprettyprint.com. Fügen Sie die Kopie in das Textfeld ein und wählen Sie die Schaltfläche Pretty Print XML aus. Wenn xmlprettyprint.com einen leeren Bildschirm zurückgibt, versuchen Sie es jsonformatter.org/xml-pretty-print
  2. Speichern Sie die Datei. 

Schritt 2: Überprüfen, ob die Assertion nicht verschlüsselt ist

Verwenden Sie Strg + F (Cmd + F auf einem Mac), um Ihre Datei nach Folgendem zu durchsuchen:

  • EncryptedAssertion
  • Verschlüsselte Daten
  • CipherData (Verschlüsselte Daten)

Wenn diese Werte vorhanden sind, bitten Sie den IdP-Administrator, die Assertionsverschlüsselung zu deaktivieren, um eine neue, unverschlüsselte Assertion zu generieren. Smartsheet Support kann versuchen, die Datei zu entschlüsseln, aber die Arbeit mit Ihren internen Ressourcen ist schneller, um eine neue Assertion zu generieren. 


Schritt 3: Analysieren Sie die Assertion

Die Assertion enthält alle unten aufgeführten Elemente. Überprüfen Sie, ob jedes Element wie erwartet angezeigt wird. 

ZERTIFIKATE

  • Zertifikate authentifizieren die Informationen, die an Smartsheet übergeben werden. Der Anmeldevorgang wird nicht abgeschlossen, wenn die Zertifikate veraltet sind oder nicht bestanden werden.
  • Überprüfen Sie die Zertifikate in den Metadaten. Es können mehrere Zertifikate vorhanden sein, und das Ablaufdatum des Schlüssels ist möglicherweise nicht genau.

 

Suchen Sie das Zertifikat in der Assertion
  1. Öffnen Sie Ihre Assertion-Datei. 
  2. Verwenden Sie Strg + F (Cmd + F auf einem Mac), um nach 509Certificate zu suchen.
  3. Kopieren Sie alle Daten nach dem > und vor dem Schließen

 

Überprüfen Sie das Zertifikat
  1. Gehe zu https://redkestrel.co.uk/products/decoder/
  2. Fügen Sie die Zertifikatsdaten in das Textfeld ein und wählen Sie die Schaltfläche Decodieren aus.
  3. Vergewissern Sie sich, dass alle Felder bestanden werden.
  4. Überprüfen Sie, ob das Zertifikat mit dem Zertifikat in den Metadaten Ihrer Organisation übereinstimmt. Bitten Sie den IdP-Administrator, die Metadaten aus seinem IdP zu exportieren, um Querverweise auf die Assertion-Informationen zu erstellen.

    Wenn die Zertifikate die Zertifikatsprüfung oder den Decoder nicht bestehen, aktualisieren Sie das Zertifikat oder fügen Sie die neuesten Metadaten aus dem IdP in Smartsheet hinzu. 

 

Attribut-Ansprüche

Die Assertion enthält eine lange Liste von Ansprüchen oder Attributen. Smartsheet erfordert nur zwei Ansprüche für die Authentifizierung: die Anforderung "Persistente ID" (auch als "Namens-ID" bezeichnet) und die Anforderung "E-Mail-Adresse". 

Smartsheet prüft auf zwei Dinge:

  • Ist die Forderung korrekt eingerichtet?
  • Sind die richtigen Informationen weitergegeben worden?

Stellen Sie sicher, dass alle Ansprüche wie in diesem Hilfecenter-Artikel beschrieben eingerichtet sind. 

 

Überprüfen Sie die persistente ID

Verwenden Sie Strg + F (Cmd + F für Mac) und suchen Sie nach "NameID" oder "name=". 

Beim erstmaligen Einrichten von SAML können Benutzer das NameID-Element für ihren Anspruch auf dauerhafte ID festlegen. Die folgenden Formate sind akzeptierte Beispiele. 

  • urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
  • urn:oasis:names:tc:SAML:2.0:nameid­-format:email
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
  • urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
  • urn:oid:1.3.6.1.4.1.5923.1.1.1.10 

Hier ist ein Beispiel für ein NameID-Attribut für persistente ID :

user@domaindotcom

Die Fettschrift hebt den Teil des Anspruchs hervor, der überprüft werden soll. Wenn Sie NameID verwenden, sollte es mit einem der obigen Beispiele übereinstimmen. 

Die Kursivschrift hebt die Informationen hervor, die der IdP an Smartsheet übergibt, um den Benutzer zu authentifizieren. Bei der dauerhaften/Namens-ID muss es sich nicht um eine E-Mail-Adresse des gewünschten Smartsheet Kontos handeln, ist dies aber oft. 

Eine weitere häufige Auswahl ist die IdP Benutzer-ID für diese Person. Wenn der kursiv gedruckte Abschnitt oben nicht die E-Mail-Adresse des Benutzers enthält, vermerken Sie dies als potenzielles Problem.  

Wenn Benutzer SAML zum ersten Mal einrichten, können sie sich auch dafür entscheiden, das NameID-Element nicht zu verwenden und uns stattdessen ein einfaches persistentes ID-Attribut zu übergeben.

Ein akzeptiertes Attribut für die persistente ID kann wie im obigen Beispiel (mit einem dieser sechs akzeptierten Ansprüche) oder wie im folgenden Beispiel (mit einem von fünf akzeptierten Ansprüchen) aussehen:

  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"
  • name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
  • name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Hier ist ein Beispiel für ein Attribut "Persistente ID":
 

user@domaindotcom/saml:AttributeValue>

Die Behauptung ist fett formatiert. Dieses Attribut kann verwendet werden, wenn dieser Anspruch mit den akzeptierten Beispielen übereinstimmt. Überprüfen Sie den kursiven Text, um sicherzustellen, dass eine E-Mail-Adresse für das gewünschte Smartsheet Konto übergeben wird. Wenn der kursive Abschnitt oben nicht die E-Mail ist, vermerken Sie dies als potenzielles Problem.

 

Attribut "E-Mail-Adresse"

Verwenden Sie Strg + F (Cmd + F für Mac) und suchen Sie nach "E-Mail-Adresse" oder "nameFormat". 

Das E-Mail-Adressattribut muss eine verifizierte E-Mail-Adresse im Smartsheet Konto übergeben und akzeptiert keine NameID-Elemente wie das Attribut Persistent oben. Es muss auch mit einem der folgenden Ansprüche übereinstimmen und die richtige E-Mail-Adresse übergeben werden. 

  • name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="Email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
  • name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
  • name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="mail",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic" 

Hier ist ein Beispiel dafür, wie dies in einer Assertion angezeigt wird:

name="emailaddress"nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">http://www.w3.org/2001/XMLSchema"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">;user@domaindotcom

Der Anspruch ist grün und blau hervorgehoben. Solange diese Behauptung mit unseren akzeptierten Beispielen übereinstimmt, ist dieses Attribut in Ordnung. Überprüfen Sie den violetten Text, um sicherzustellen, dass eine E-Mail-Adresse für das gewünschte Smartsheet Konto übergeben wurde. 

Wenn die E-Mail-Adresse im kursiven Abschnitt nicht die richtige ist, aktualisieren Sie das Attribut des Benutzers in der IdP oder fügen Sie die andere E-Mail-Adresse als bestätigte alternative E-Mail-Adresse in Smartsheet hinzu. Wenden Sie sich an Ihren IdP Administrator, um den besten Weg zu bestimmen.

 

Überprüfen Sie Ihre Ergebnisse

Eine Assertion muss die folgenden Voraussetzungen erfüllen:

  1. Das Zertifikat wird bestanden und stimmt mit dem Zertifikat in den Organisationsmetadaten überein.
  2. Das Attribut Persistent ID/NameID stimmt mit einem der Beispiele überein und übergibt eine E-Mail-Adresse aus dem gewünschten Smartsheet Konto.

    Manchmal gibt dieser Anspruch einen anderen Wert weiter, was in Ordnung sein kann. Vergewissern Sie sich, dass der übergebene Wert beabsichtigt ist. Wenn es keine anderen Probleme gibt, versuchen Sie stattdessen, eine verifizierte E-Mail-Adresse (für das Smartsheet Konto) für diesen Anspruch zu übermitteln. 

  3. Das Attribut "E-Mail-Adresse" stimmt mit einem Anspruchsbeispiel überein und übergibt eine E-Mail-Adresse aus dem gewünschten Smartsheet Konto.