Parti di questa pagina potrebbero essere tradotte automaticamente.

Identificare i problemi in un'asserzione SAML

Utilizza le istruzioni contenute in questo articolo per identificare potenziali problemi nell'asserzione SAML.

Chi può usarlo?

Piani:

  • Enterprise

Autorizzazioni:

  • Amministratore di sistema

Scopri se questa funzionalità è inclusa in Smartsheet Regions o Smartsheet Gov.

Prerequisiti

Innanzitutto, dovrai acquisire l'asserzione. Scopri come.


Passaggio 1: Pulisci il file XML (opzionale)

Il file di asserzione XML può apparire come un muro di testo, rendendo difficile trovare gli elementi che stai cercando.

  1. Copia il testo dell'asserzione e vai a xmlprettyprint.com. Incolla la copia nel campo di testo e seleziona il pulsante Pretty Print XML . Se xmlprettyprint.com restituisce una schermata vuota, prova jsonformatter.org/xml-pretty-print
  2. Salvare il file. 

Passaggio 2: verifica che l'asserzione non sia crittografata

Usa Ctrl + F (Cmd + F su un Mac) per cercare nel tuo file:

  • EncryptedAssertion
  • EncryptedData
  • CipherData

Se questi valori sono presenti, chiedi all'amministratore IdP di disabilitare la crittografia delle asserzioni per generare una nuova asserzione non crittografata. L'assistenza Smartsheet può tentare di decrittografare il file, ma lavorando con le risorse interne è più veloce per generare una nuova asserzione. 


Passaggio 3: analizza l'asserzione

L'asserzione contiene tutti gli elementi dettagliati di seguito. Convalida ogni elemento visualizzato come previsto. 

CERTIFICATI

  • I certificati autenticano le informazioni passate a Smartsheet. Il processo di accesso non verrà completato se i certificati sono obsoleti o non vengono superati.
  • Controllare i certificati nei metadati. Possono esistere più certificati e la data di scadenza della chiave potrebbe non essere accurata.

 

Trovare il certificato nell'asserzione
  1. Aprire il file di asserzione. 
  2. Usa Ctrl + F (Cmd + F su un Mac) per cercare 509Certificate.
  3. Copia tutti i dati dopo la > e prima della chiusura

 

Controlla il certificato.
  1. Vai a https://redkestrel.co.uk/products/decoder/
  2. Incollare i dati del certificato nel campo di testo e selezionare il pulsante Decodifica .
  3. Verificare che tutti i campi vengano passati.
  4. Verificare che il certificato corrisponda al certificato nei metadati dell'organizzazione. Chiedi all'amministratore del IdP di esportare i metadati dal proprio IdP per fare riferimento incrociato alle informazioni sull'asserzione.

    Se i certificati non superano il controllo del certificato o il decodificatore, aggiorna il certificato o aggiungi i metadati più recenti dal IdP in Smartsheet. 

 

Attestazioni di attributi

L'asserzione contiene un lungo elenco di affermazioni o attributi. Smartsheet richiede solo due claim per l'autenticazione: l'attestazione ID persistente (noto anche come ID nome) e la richiesta di indirizzo e-mail. 

Smartsheet verifica due cose:

  • Il reclamo è impostato correttamente?
  • Vengono passate le informazioni corrette?

Assicurati che eventuali reclami siano impostati come illustrato in questo Centro assistenza articolo

 

Controllare l'ID persistente

Usa Ctrl + F (Cmd + F per Mac) e cerca "NameID" o "name=". 

Quando si configura SAML per la prima volta, gli utenti possono impostare l'elemento NameID per l'attestazione ID persistente. I formati seguenti sono esempi accettati. 

  • urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
  • urn:oasis:names:tc:SAML:2.0:nameid­-format:email
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
  • urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
  • urn:oid:1.3.6.1.4.1.5923.1.1.1.10

Ecco un esempio di attributo ID persistente NameID:

user@domaindotcom

Il grassetto evidenzia la parte della richiesta di verifica. Se usi NameID, dovrebbe corrispondere a uno degli esempi precedenti. 

Il corsivo evidenzia le informazioni che il IdP passa a Smartsheet per autenticare l'utente. Per l'ID Persistente/nome, non deve necessariamente essere un indirizzo e-mail nell'account Smartsheet desiderato, ma spesso lo è. 

Un'altra scelta comune è l'ID utente IdP per quella persona. Se la sezione in corsivo sopra non include l'indirizzo e-mail dell'utente, segnalalo come potenziale problema.  

Quando si configurano SAML per la prima volta, gli utenti possono anche scegliere di non utilizzare l'elemento NameID e passarci invece un semplice attributo ID persistente.

Un attributo ID persistente accettato potrebbe essere simile all'esempio riportato in precedenza (con una delle sei attestazioni accettate) o all'esempio seguente (con una delle cinque attestazioni accettate):

  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname""
  • name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
  • name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Ecco un esempio di attributo ID persistente :
 

user@domaindotcom

L'attestazione è formattata in grassetto. Questo attributo è buono se questa affermazione corrisponde agli esempi accettati. Controlla il testo in corsivo per assicurarti che venga passato un indirizzo e-mail all'account Smartsheet desiderato. Se la sezione corsiva sopra non è l'e-mail, segnalalo come potenziale problema.

 

Attributo dell'indirizzo e-mail

Usa Ctrl + F (Cmd + F per Mac) e cerca "emailaddress" o "nameFormat". 

L'attributo indirizzo e-mail deve passare un indirizzo e-mail verificato all'account Smartsheet e non accetta elementi NameID, come l'attributo Persistente di cui sopra. Deve anche corrispondere a una delle affermazioni riportate di seguito e passare l'e-mail corretta. 

  • name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="Email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
  • name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress""
  • name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="mail",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic" 

Ecco un esempio di come questo appare in un'asserzione:

name="emailaddress"nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">http://www.w3.org/2001/XMLSchema"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">;user@domaindotcom

L'affermazione è evidenziata in verde e blu. Finché questa affermazione corrisponde ai nostri esempi accettati, questo attributo è a posto. Controlla il testo viola per assicurarti che venga passato un indirizzo e-mail sull'account Smartsheet desiderato. 

Se l'e-mail nella sezione corsivo non è quella corretta, aggiorna l'attributo dell'utente nella IdP o aggiungi l'altra e-mail come indirizzo e-mail alternativo confermato in Smartsheet. Verifica con l'amministratore di IdP per determinare il percorso migliore da seguire.

 

Esamina i tuoi risultati

Un'asserzione deve soddisfare i seguenti requisiti:

  1. Il certificato supera e corrisponde al certificato nei metadati dell'organizzazione.
  2. L'attributo Persistent ID/NameID corrisponde a uno degli esempi e passa un indirizzo e-mail dall'account Smartsheet desiderato.

    A volte, questa affermazione passerà un altro valore, che può andare bene. Verificare che il valore passato sia previsto. Se non ci sono altri problemi, prova a passare un'e-mail di verifica (sull'account Smartsheet) per tale affermazione. 

  3. L'attributo e-mail address corrisponde a un esempio di claim e passa un indirizzo e-mail dall'account Smartsheet desiderato.