AEM Solución de problemas relacionados con SAML en la solución de problemas de

AEM El artículo explica cómo solucionar problemas de SAML (Lenguaje de marcado de aserción de seguridad) con la. Aborda el problema del bucle infinito, el problema de aserción no válida, entre otros, y las medidas para resolverlos.

Descripción description

Entorno

Experience Manager

Problema/Síntomas

¿Cómo podemos solucionar problemas relacionados con el lenguaje de marcado de aserción de seguridad (SAML) con Adobe Experience Manager AEM ()?

Resolución resolution

Problema de bucle infinito:

  • Comprobar si ds:signature forma parte de la afirmación de SAML > Si no es así, esto se debe hacer al final del IDP y marque la casilla de verificación para la aserción firmada
  • Compruebe el formato nameId en la respuesta SAML; el formato debe coincidir exactamente con el formato de la directiva nameId configurado en la configuración SAML
  • Compruebe la restricción de audiencia de SAML en la respuesta de SAML; el valor de esta etiqueta debe coincidir exactamente con el ID de entidad de la configuración de SAML
  • Compruebe saml2: conditions (NotBefore & NotOnOrAfter), el servidor no está sincronizado con el servidor ntp. Utilice ntpd y fuércelo para sincronizar sys time (ntpdate -s pool.ntp.org). Para la prueba, cambie la tolerancia del reloj a -1, esto ignorará la diferencia del reloj.
  • Compruebe si idp no tiene firmada la afirmación. Pregunte al equipo de idp que la respuesta está firmada y que la aserción debe firmarse según la especificación saml.
  • Compruebe si la salida del rastreador de SAML está cifrada la afirmación del IDP. Si es así, la configuración del controlador de autenticación SAML debe utilizar la casilla de verificación de cifrado

Compruebe si el certificado SAML tiene el formato correcto:

  • Obtenga la firma de la respuesta de SAML y corrija el certificado, es decir, después de la línea 65, pulse intro y así sucesivamente.
  • AEM A continuación, esto se puede utilizar para instalar en el almacén de confianza de y hacer coincidir los detalles del certificado con IDP.

Cifrado:

  • Primero, complete siempre la configuración de SAML sin cifrado. Cuando haya terminado, habilite el cifrado. De este modo, es fácil depurar el problema

Dispatcher:

  • Asegúrese de que la solicitud de inicio de sesión de SAML esté permitida en la sección de filtros. Si no es así, actualice la sección /filter para permitir las solicitudes de POST a */saml_login.

    /0100 { /type "allow" /method "POST" /url "*/saml_login" }

  • Compruebe si hay cambios en el encabezado Mod (mod_header) en el nivel de servidor web en httpd.conf. Debe estar en el siguiente formato

    < < < < < < El encabezado siempre edita Set-Cookie (.*) "$1; HTTPOnly; Secure" > > > > >

Afirmación no válida:

1
2
com.adobe.granite.auth.saml.model.Assertion Invalid Assertion: Signature invalid. com.adobe.granite.auth.saml.SamlAuthenticationHandler Private key of SP not provided: Cannot sign Authn request
  • Podría haber un problema con el certificado almacenado en el almacén de confianza. La solución aquí podría ser eliminar y volver a cargar el nuevo idp_cert y comprobar el caso de uso.
  • Si no cifra la respuesta de SAML, puede ignorar el error "Clave privada de SP no proporcionada: no se puede firmar la solicitud de autor".

No se puede recuperar la clave privada:

1
2
[ com.adobe.granite.security.user.internal.servlets.KeyStoreManagingServlet,1121, [ javax.servlet.Servlet] ] ServiceEvent REGISTERED saml.log:27.01.2019 14:16:13.642 *ERROR* [ qtp275633701-179] com.adobe.granite.auth.saml.SamlAuthenticationHandler KeyStore uninitialized. Cannot retrieve private key to decrypt assertions.
  • Este error significa que IDP ha cifrado la afirmación y no hay ninguna clave privada para descifrar la respuesta. AEM Si desea cifrar la respuesta, debe cargar una clave privada válida en el almacén de claves de la.

Información que se debe proporcionar al elevar un ticket de soporte relacionado con SAML:

  • Solicitud SAML
  • Respuesta de SAML
  • Configuración de SAML
  • Registros de DEPURACIÓN para SAML (com.adobe.granite.auth.saml)
  • Error.log
  • HAR[ 1] Archivo para extraer la solicitud/respuesta de SAML

[ 1] Generación de un archivo HAR

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f