Ошибка единого входа с помощью SAML: opensaml::BindingException

Описание

Ошибка единого входа с помощью SAML: opensaml::BindingException по адресу (https://sso.smartsheet.com/Shibboleth.sso/SAML/POST) В запросе отсутствует параметр формы SAMLResponse или TARGET

Эта ошибка возникает при попытке войти в Smartsheet с помощью SAML. Она часто возникает на начальных этапах настройки SAML.

1. Пользователь открывает страницу входа в Smartsheet.
2. Нажимает кнопку Учётная запись вашей организации.
3. Указывает данные, предоставленные IdP.
4. IdP выполняет попытку перенаправления пользователя в Smartsheet, однако возникает сообщение об ошибке. 

Эта ошибка может возникнуть даже в том случае, если утверждение выглядит абсолютно корректным (включая атрибуты "Сертификат", "Ограничение аудитории", "NameID/Постоянный идентификатор", "Адрес электронной почты").

Причина

Ошибка возникает, когда IdP пытается перенаправить пользователя по адресу https://sso.smartsheet.com/Shibboleth.sso/SAML/POST вместо https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST. Перенаправление зависит от URL-адреса службы обработчика утверждений (Assertion Consumer Service, ACS), настроенного для Smartsheet поставщиком удостоверений.

Некоторые поставщики удостоверений, такие как Citrix ADC, пытаются автоматически обрабатывать URL-адрес ACS, полученный из XML-файла метаданных поставщика услуг Smartsheet: https://www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml.

В метаданных Smartsheet содержатся четыре привязки AssertionConsumerService со следующими определениями:

• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" | Используется для утверждений SAML2 (используется для протокола SAML 2.0 в 99 % конфигураций)
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" | Используется для SAML 2 в качестве альтернативы привязке HTTP-POST с альтернативным механизмом подписи (подробнее см. здесь: http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-binding-simplesign-cd-02.html) 
• Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" | Обратная конечная точка SOAP для SAML 2
• Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" | Конечная точка POST SAML1 для утверждений SAML1

Несмотря на то что XML-файл поставщика услуг содержит привязки ACS, корректные с точки зрения протокола SAML 1.0, Smartsheet требует, чтобы использовался протокол SAML 2.0.

В случае с Citrix ADC поставщик удостоверений автоматически захватывал некорректную привязку ACS Binding для протокола SAML 1.0, несмотря на то что Citrix использует протокол SAML 2.0. Эту проблему можно решить с вашим IdP. Сообщите, что автоматический выбор привязки ACS происходит некорректно, и требуется указать URL-адрес ACS вручную.

Решение

Попросите администратора IdP настроить URL-адрес привязки ACS корректно: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST

Проверьте указанные ниже настройки конфигурации.

• URL-адрес ACS: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
• Ограничение аудитории: https://sso.smartsheet.com/saml
• Валидация сертификатов: https://redkestrel.co.uk/products/decoder/
• Запрос, содержащий атрибуты "Постоянный идентификатор" и "Адрес электронной почты", должен соответствовать поддерживаемым форматам: https://help.smartsheet.com/articles/2476671-saml-assertion-supported-claims