Des parties de cette page peuvent avoir été traduites automatiquement.

Identifier les problèmes dans une assertion de SAML

Utilisez les instructions de cet article pour identifier les problèmes potentiels dans votre assertion de SAML.

Qui peut l’utiliser ?

Forfaits :

  • Enterprise

Autorisations :

  • Administrateur système

Découvrez si cette fonctionnalité est incluse dans Régions Smartsheet ou Smartsheet pour le secteur public.

Prérequis

Tout d'abord, vous devrez capturer l'affirmation. En savoir plus.


Étape 1 : Nettoyez votre fichier XML (facultatif)

Le fichier d'assertion XML peut se présenter sous la forme d'un mur de texte, ce qui rend difficile la recherche des éléments recherchés.

  1. Copiez le texte de l'assertion et accédez à xmlprettyprint.com. Collez la copie dans le champ de texte et sélectionnez XML joliment imprimé bouton. Si xmlprettyprint.com retourne un écran vide, essayez jsonformatter.org/xml-pretty-print
  2. Enregistrez le fichier. 

Étape 2 : Vérifiez que l'assertion n'est pas chiffrée

Utiliser Ctrl + F (Cmd + F sur un Mac) pour rechercher dans votre fichier :

  • AssertionChiffrée
  • Données chiffrées
  • ChiffrerDonnées

Si ces valeurs sont présentes, demandez à l'IdP Admin de désactiver le chiffrement des assertions pour générer une nouvelle assertion non chiffrée. Le support Smartsheet peut tenter de décrypter le fichier, mais il est plus rapide de travailler avec vos ressources internes pour générer une nouvelle assertion. 


Étape 3 : Analyser l'assertion

L'assertion contient tous les éléments détaillés ci-dessous. Validez chaque élément comme prévu. 

Certificats

  • Les certificats authentifient les informations transmises à Smartsheet. Le processus de connexion ne sera pas terminé si les certificats sont obsolètes ou ne réussissent pas.
  • Vérifiez les certificats dans les métadonnées. Plusieurs certificats peuvent exister et la date d'expiration de la clé peut ne pas être exacte.

 

Rechercher le certificat dans l'assertion
  1. Ouvrez votre fichier d'assertion. 
  2. Utiliser Ctrl + F (Cmd + F sur un Mac) à rechercher 509Certificat.
  3. Copiez toutes les données après > et avant la fermeture

 

Vérifier le certificat 
  1. Accéder à https://redkestrel.co.uk/products/decoder/
  2. Collez les données du certificat dans le champ de texte et sélectionnez Décoder bouton.
  3. Vérifiez que tous les champs sont transmis.
  4. Vérifiez que le certificat correspond au certificat dans les métadonnées de votre organisation. Demandez à l'administrateur de l'IdP d'exporter les métadonnées à partir de son IdP pour référencer les informations d'assertion.

    Si les certificats ne réussissent pas la vérification de certificat ou le décodeur, mettre à jour votre certificat ou ajoutez les métadonnées les plus récentes de l'IdP dans Smartsheet. 

 

Revendications d'attribut

L'assertion contient une longue liste de revendications ou d'attributs. Smartsheet ne requiert que deux revendications pour l'authentification : la revendication d'ID persistant (également appelé ID de nom) et la revendication d'adresse de messagerie. 

Smartsheet vérifie deux choses : 

  • La réclamation est-elle correctement établie ?
  • Les renseignements exacts sont-ils transmis?

Assurez-vous que toutes les réclamations sont configurées comme indiqué dans cet article du Centre d'aide

 

Vérifier l'ID persistant

Utilisez Ctrl + F (Cmd + F pour Mac) et recherchez « NameID » ou « name= ». 

Lors de la première configuration de SAML, les utilisateurs peuvent définir l'élément NameID pour leur revendication d'ID permanent. Les formats ci-dessous sont des exemples acceptés. 

  • urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
  • urn:oasis:names:tc:SAML:2.0:nameid­-format:email
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
  • urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
  • urn:oid:1.3.6.1.4.1.5923.1.1.1.10

Voici un exemple de ID persistant NameID attribut : 

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress« >user@domaindotcom

Les caractères gras soulignent la partie de la demande à vérifier. Si vous utilisez NameID, il doit correspondre à l'un des exemples ci-dessus. 

Les italiques mettent en évidence les informations que l'IdP transmet à Smartsheet pour authentifier l'utilisateur. Pour l'ID persistant/nom, il n'est pas nécessaire qu'il s'agisse d'une adresse e-mail sur le compte Smartsheet souhaité, mais c'est souvent le cas. 

Un autre choix courant est l'ID utilisateur IdP pour cette personne. Si la section en italique ci-dessus n'inclut pas l'e-mail de l'utilisateur, notez qu'il s'agit d'un problème potentiel.  

Lors de la première configuration de SAML, les utilisateurs peuvent également choisir de ne pas utiliser l'élément NameID et de nous transmettre un attribut Persistent ID simple.

Un attribut d'ID permanent accepté peut ressembler à l'exemple ci-dessus (avec l'une de ces six revendications acceptées) ou à l'exemple ci-dessous (avec l'une des cinq revendications acceptées) : 

  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname""
  • name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
  • name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Voici un exemple de ID persistant attribut :
 

urn:oasis:names:tc:SAML:2.0:attrname-format:basic« >user@domaindotcom

La revendication est mise en gras. Cet attribut est correct si cette revendication correspond aux exemples acceptés. Vérifiez le texte en italique pour vous assurer qu'une adresse e-mail sur le compte Smartsheet souhaité est transmise. Si la section en italique ci-dessus n'est pas l'e-mail, notez qu'il s'agit d'un problème potentiel.

 

Attribut d'adresse de messagerie

Utilisez Ctrl + F (Cmd + F pour Mac) et recherchez « email address » ou « nameFormat ». 

L'attribut d'adresse e-mail doit passer une adresse e-mail vérifiée sur le compte Smartsheet et n'accepte pas les éléments NameID, comme l'attribut Persistent ci-dessus. Il doit également correspondre à l'une des revendications ci-dessous et passer le bon e-mail. 

  • name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="Email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
  • name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
  • name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="mail",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic" 

Voici un exemple de la façon dont ceci apparaît dans une assertion : 

name=« adresse électronique« nameFormat= »http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress »>http://www.w3.org/2001/XMLSchema« xmlns:xsi= »http://www.w3.org/2001/XMLSchema-instance« >;user@domaindotcom

L'allégation est surlignée en vert et en bleu. Tant que cette revendication correspond à nos exemples acceptés, cet attribut est valable. Vérifiez le texte en violet pour vous assurer qu'une adresse e-mail sur le compte Smartsheet souhaité est transmise. 

Si l'e-mail en italique n'est pas le bon, mettez à jour l'attribut de l'utilisateur dans l'IdP ajouter l'autre e-mail comme adresse de messagerie de secours confirmée à Smartsheet. Consultez votre administrateur IdP pour déterminer la meilleure voie à suivre.

 

Revoir vos conclusions

Une assertion doit satisfaire aux exigences suivantes : 

  1. Le certificat est transmis et correspond au certificat dans les métadonnées de l'organisation.
  2. L'attribut Persistent ID/NameID correspond à l'un des exemples et transmet une adresse e-mail à partir du compte Smartsheet souhaité.

    Parfois, cette revendication passe une autre valeur, ce qui peut être correct. Confirmez que la valeur transmise est intentionnelle. S'il n'y a pas d'autres problèmes, essayez plutôt de transmettre un courriel vérifié (sur le compte Smartsheet) pour cette réclamation. 

  3. L'attribut d'adresse e-mail correspond à un exemple de revendication et transmet une adresse e-mail à partir du compte Smartsheet souhaité.