Problemen met SAML in AEM oplossen
Het artikel legt uit hoe te om de kwesties van SAML (de Taal van de Prijsverhoging van de Bevestiging van de Veiligheid) met AEM problemen op te lossen. Het behandelt het oneindige lusprobleem, ongeldige assertiekwestie, onder andere, en maatregelen om hen op te lossen.
Beschrijving description
Milieu
Experience Manager
Uitgave/Symptomen
Hoe kunnen wij kwesties met betrekking tot de Opmaak van de Taal van de Bevestiging van de Veiligheid (SAML) met Adobe Experience Manager (AEM) problemen oplossen?
Resolutie resolution
Oneindige lijnkwestie:
- Controleren of ds:signature onderdeel is van SAML-bevestiging
>Als dit niet het geval is, moet dit gebeuren aan het einde van de IDP en het selectievakje voor ondertekende bevestiging inschakelen - Controle voor nameId formaat in de reactie van SAML, zou het formaat precies het nameId formaat van het Beleid moeten aanpassen zoals die in SAML Config wordt gevormd
- Controle voor SAML AudienceRestriction in reactie SAML, zou de waarde van deze markering entiteitidentiteitskaart in SAML config precies moeten aanpassen
- Controleren op voorbeeld2: voorwaarden (NotBefore & NotOnOrAfter), de server is niet synchroon met de NTP-server. Gebruik ntpd en forceer het om systeemtijd (ntpdate - s pool.ntp.org) te synchroniseren. Voor test, verander de kloktolerantie in -1, zal dit klokverschil negeren.
- Controleer of idp geen bevestiging heeft ondertekend. Vraag het idp-team of het antwoord is ondertekend en dat de bevestiging moet worden ondertekend volgens de saml-specificatie.
- Controleer of de SAML-traceringsuitvoer is gecodeerd als de bewering van IDP is gecodeerd. Indien ja, zou Config van SAML de autethandler versleutelingscheckbox moeten gebruiken
Controle als het Certificaat van SAML in juiste formaat is:
- Vestig de handtekening van het antwoord van SAML en verbeter het certificaat, d.w.z., na 65th lijn, druk binnengaan etc.
- Dit kan dan worden gebruikt om in AEM truststore te installeren en certificaatdetails met IDP aan te passen.
Encryptie:
- Eerst moet SAML altijd zonder codering worden ingesteld. Schakel codering in wanneer dit gebeurt. Op deze manier kunt u gemakkelijk fouten opsporen in het probleem
Dispatcher:
-
Zorg ervoor SAML login verzoek in de filterssectie wordt toegestaan.Als niet, werk de /filter sectie bij om POST verzoeken aan */saml_login toe te staan.
/0100 { /type "allow" /method "POST" /url "*/saml_login" }
-
Controleren op wijziging in Mod-header(mod_header) op webserverniveau in httpd.conf. De header moet in onderstaande indeling worden weergegeven
<<<<<<Koptekst bewerkt altijd Set-Cookie (.*) "$1; HTTPOnly; Secure">>>>>
Ongeldige Assertion:
2
com.adobe.granite.auth.saml.model.Assertion Invalid Assertion: Signature invalid. com.adobe.granite.auth.saml.SamlAuthenticationHandler Private key of SP not provided: Cannot sign Authn request- De kwestie zou met certificaat kunnen zijn dat in het truststore wordt opgeslagen. De oplossing hier zou kunnen zijn om nieuwe idp_cert te schrappen en opnieuw te uploaden en het gebruik-geval te controleren.
- Als u de SAML-reactie niet versleutelt, kunt u de fout 'Persoonlijke sleutel van SP niet opgegeven: Kan ontwerpverzoek niet ondertekenen' negeren.
kan Persoonlijke Sleutel niet terugwinnen:
2
[ com.adobe.granite.security.user.internal.servlets.KeyStoreManagingServlet,1121, [ javax.servlet.Servlet] ] ServiceEvent REGISTERED saml.log:27.01.2019 14:16:13.642 *ERROR* [ qtp275633701-179] com.adobe.granite.auth.saml.SamlAuthenticationHandler KeyStore uninitialized. Cannot retrieve private key to decrypt assertions.- Deze fout betekent dat IDP de bewering heeft gecodeerd en dat er geen persoonlijke sleutel is om de reactie te decoderen. Als u de reactie wilt coderen, moet u een geldige persoonlijke sleutel uploaden in het AEM sleutelarchief.
Informatie om te verstrekken wanneer het opheffen van een SAML verwant kaartje van de Steun:
- SAML-verzoek
- SAML-respons
- SAML-configuratie
- DEBUG-logbestanden voor SAML (com.adobe.granite.auth.saml)
- Error.log
- HAR
[1]dossier om het Verzoek/de Reactie van SAML te halen
[ 1 ] producerend een HAR- dossier