Плохой запрос SAML

Question

Плохой запрос SAML

Я пытаюсь настроить логин SAML на сервере Domino. Я получил XML-файл метаданных SAML 2.0 от провайдера идентификации, который является Oracle Identity Federation 11g.

Я импортировал метаданные в документ конфигурации IdP и получил первый этап входа в систему, чтобы пользователь перенаправлялся на сервер IdP для входа.

Когда вход в IdP завершен, я перенаправляюсь обратно на сервер Domino и получаю сообщение "Ошибка 400 HTTP Web Server: Bad SAML Request". Я пробовал установку DEBUG_SAML notes.ini с разными номерами и, наконец, все вместе: DEBUG_SAML=11199. Это показано на консоли сервера:

ProduceSaml2ADFSReply: https://oracle-idp-site.net/fed/idp/initiatesso?providerid=http://mytestsite.fi&returnurl=http://mytestsite.fi/dev/ph/xp.nsf/test.xsp&loginToRp=http://mytestsite.fi
Relay state is not equal [1575470014] - [http://mytestsite.fi/dev/ph/xp.nsf/test.xsp], url decoded/decripted [
http://mytestsite.fi/dev/ph/xp.nsf?$$_vrd2=95ed6770a665e89b35e0a74c03e6b463-b4cea507-ysrLzM3LyMx47oPqJm7hhAT%2FwyC%2BkYQ8GVN1HA%2BVb2FnIek6KcAxlr%2FzuOW018x5SUc5ULLb0zLZs3avb0UaT4t%2FepmI%2FcR29lrkKXIa9lxT9XvViDytNdpVObJG]
Could not decode cookie. Dump post data:
PostFieldName - SAMLResponse - Data - 
PHNhbWxwOlJlc3BvbnNlIHhtbG5zOnNhbWxwPSJ1cm46b2FzaXM6bmFtZXM6dGM6U0FNTDoyLjA6cHJvdG9jb2wiIERlc3RpbmF0aW9uPSJodHRwOi8vZGV2LnNvdmVsbHVzdGFsby5maS9uYW1lcy5uc2Y/U0FNTExvZ2luIiBJRD0iaWQtcnpaeUlWRmY3a3BLMFR1SGVMeTR5T3RnaGFJLSIgSXNzdWVJbnN0YW50PSIyMDEzLTA5LTE5V
PostFieldName - RelayState - Data - http://mytestsite.fi/dev/ph/xp.nsf/test.xsp
19.09.2013 15:17:19   HTTP Web Server: Bad SAML Request [/names.nsf?SAMLLogin] Anonymous

Я в конечном итоге на URL http://mytestsite.fi/names.nsf?SAMLLogin с ошибкой 400, упомянутой выше. Как "URL службы единого входа" я имею:

https://oracle-idp-site.net/fed/idp/initiatesso?providerid=http://mytestsite.fi&returnurl=http://mytestsite.fi/dev/ph/xp.nsf/test.xsp

Это структура URL, которая работает с продуктом Oracle. Продукт федерации в документе конфигурации IdP был настроен на ADFS, когда я импортировал метаданные, но я также пытался использовать TFIM.

Кажется, причиной сбоя является "Состояние реле не равно" или "Не удалось декодировать cookie", но что с этим можно сделать?

РЕДАКТИРОВАТЬ 2013-09-26

Служба поддержки IBM отказалась мне помочь, потому что Domino поддерживает только MS AD и IBM TFIM в качестве IdP. Я думал, что SAML является стандартом.

1

single-sign-on ibm-domino federated

Источник

Panu Haaramo 19 сен '13 в 12:42

2 ответа

Другие вопросы по тегам single-sign-on ibm-domino federated

Joe 03 июн '16 в 21:31 2016-06-03 21:31 · Answer 1 · 2016-06-03 21:31

У нас была та же ошибка, мы обнаружили, что сертификат x509 в IdP Config не был импортирован или скопирован правильно. Мы скопировали напрямую из XML-файла в блокнот, удалили все пробелы или разрывы строк и вставили обратно в файл конфигурации. Перезапустите HTTP, и это решено.

meleth 05 ноя '14 в 09:56 2014-11-05 09:56 · Answer 2 · 2014-11-05 09:56

Не знаю, решите ли вы когда-нибудь это, но мне, наконец, удалось разобраться с этой ошибкой для федерации, которую я настраивал. Если вы скажете Domino настроить федерацию для ADFS, он установит cookie-файл DOMSTATE, который нужно установить все время.

Также обратите внимание, что если вы установите флаг Relaystate в сообщении saml обратно на сервер domino, сервер domino примет указанное там значение и сопоставит его с файлом cookie domstate. Так что я обошел эту проблему, не отправляя флаг ретрансляции обратно на сервер домино.