Problemen met SAML in AEM oplossen
In het artikel wordt uitgelegd hoe u SAML-problemen (Security Assertion Markup Language) met AEM kunt oplossen. Het behandelt het oneindige lusprobleem, ongeldige assertiekwestie, onder andere, en maatregelen om hen op te lossen.
Beschrijving description
Milieu
Experience Manager
Uitgave/Symptomen
Hoe kunnen wij kwesties met betrekking tot de Prijsverhoging van de Veiligheid (SAML) met Adobe Experience Manager (AEM) problemen oplossen?
Resolutie resolution
Oneindige lijnkwestie:
- Controleren of ds:signature onderdeel is van SAML-bevestiging
>Als dit niet het geval is, moet dit aan het einde van de IDP gebeuren en het selectievakje voor ondertekende bevestiging inschakelen - Controle voor nameId formaat in de reactie van SAML, zou het formaat precies het nameId formaat van het Beleid moeten aanpassen zoals die in SAML Config wordt gevormd
- Controle voor SAML AudienceRestriction in reactie SAML, zou de waarde van deze markering entiteitidentiteitskaart in SAML config precies moeten aanpassen
- Controleren op sample2: condities (NotBefore & NotOnOrAfter), Server is niet synchroon met de NTP-server. Gebruik ntpd en forceer het om systeemtijd (ntpdate - s pool.ntp.org) te synchroniseren. Voor test, verander de kloktolerantie in -1, zal dit klokverschil negeren.
- Controleer of idp geen bevestiging heeft ondertekend. Vraag het idp-team of het antwoord is ondertekend en dat de bevestiging moet worden ondertekend volgens de saml-specificatie.
- Controleer of de SAML-traceringsuitvoer is gecodeerd als de bewering van IDP is gecodeerd. Indien ja, zou Config van SAML de autethandler versleutelingscheckbox moeten gebruiken
Controle als het Certificaat van SAML in juiste formaat is:
- Vestig de handtekening van het antwoord van SAML en verbeter het certificaat, d.w.z., na 65th lijn, druk binnengaan etc.
- Deze kan vervolgens worden gebruikt om te installeren in AEM truststore en om certificaatdetails te koppelen aan IDP.
Encryptie:
- Eerst moet SAML altijd zonder codering worden ingesteld. Schakel codering in wanneer dit gebeurt. Op deze manier kunt u gemakkelijk fouten opsporen in het probleem
Dispatcher:
-
Zorg ervoor SAML login verzoek in de filtersectie wordt toegestaan.Als niet, werk de /filter sectie bij om POST- verzoeken aan */saml_login toe te staan.
/0100 { /type "allow" /method "POST" /url "*/saml_login" }
-
Controleren op wijziging in Mod-header(mod_header) op webserverniveau in httpd.conf. De header moet in onderstaande indeling worden weergegeven
<<<<<<Koptekst bewerkt altijd Set-Cookie (.*) "$1; alleen HTTPO; Secure">>>>>
Ongeldige Assertion:
2
com.adobe.granite.auth.saml.model.Assertion Invalid Assertion: Signature invalid. com.adobe.granite.auth.saml.SamlAuthenticationHandler Private key of SP not provided: Cannot sign Authn request- De kwestie zou met certificaat kunnen zijn dat in het truststore wordt opgeslagen. De oplossing hier zou kunnen zijn om nieuwe idp_cert te schrappen en opnieuw te uploaden en het gebruik-geval te controleren.
- Als u niet de reactie van SAML codeert, kunt u "Persoonlijke sleutel van SP negeren niet verstrekte: Kan ontwerpverzoek niet ondertekenen".
kan Persoonlijke Sleutel niet terugwinnen:
2
[ com.adobe.granite.security.user.internal.servlets.KeyStoreManagingServlet,1121, [ javax.servlet.Servlet] ] ServiceEvent REGISTERED saml.log:27.01.2019 14:16:13.642 *ERROR* [ qtp275633701-179] com.adobe.granite.auth.saml.SamlAuthenticationHandler KeyStore uninitialized. Cannot retrieve private key to decrypt assertions.- Deze fout betekent dat IDP de bewering heeft gecodeerd en dat er geen persoonlijke sleutel is om de reactie te decoderen. Als u de reactie wilt coderen, moet u een geldige persoonlijke sleutel uploaden in het sleutelarchief van AEM.
Informatie om te verstrekken wanneer het opheffen van een SAML verwant kaartje van de Steun:
- SAML-verzoek
- SAML-respons
- SAML-configuratie
- DEBUG-logbestanden voor SAML (com.adobe.granite.auth.saml)
- Error.log
- HAR
[1]dossier om het Verzoek/de Reactie van SAML te halen
[ 1 ] producerend een HAR- dossier