KB0015792: Demande/réponse SSO. Guide de dépannage pour détecter les demandes/réponses SAML.


Description du problème :
 
Impossible de se connecter à OSS via SSO
 
Dépannage des problèmes de connexion SSO :
 
1. Videz le cache de votre navigateur ou ouvrez un nouveau navigateur
2. Cliquez sur le lien SSO
3. Vous serez soit redirigé vers la page de connexion de votre IdP, soit vers la page de connexion e-SignLive avec un message d'erreur. N'essayez pas de saisir votre nom d'utilisateur/mot de passe sur la page de connexion e-SignLive.
4. Si vous vous retrouvez sur la page de connexion e-SignLive avec un message d'erreur, essayez de récupérer les requêtes SAMLRequest et SAMLResponse et envoyez-les-nous pour que nous puissions les examiner.
 
 
Comment récupérer SAMLRequest et SAMLResponse :
 
a. Dans votre navigateur, ouvrez l'outil de développement. Dans l'onglet Réseau, activez « Conserver le journal » pour conserver tout le trafic Web.
b. Lorsque vous entrez le lien ci-dessus, vous serez redirigé vers votre serveur IdP avec SAMLRequest sur l'URL de redirection.
c. Si vous n'êtes pas authentifié auprès de votre serveur IdP, veuillez entrer votre nom d'utilisateur et votre mot de passe auprès de votre serveur IdP.
d. Votre serveur IdP effectuera un POST avec SAMLResponse.
e. Pour afficher la réponse SAML, recherchez le nom « e-signlive » et cliquez dessus.
f. Dans l'onglet Payload, vous pouvez voir la réponse SAML.
g. Notez la réponse SAML cryptée. Veuillez nous fournir la réponse cryptée.
 
 
 
 
 
 
 
La réponse SAML renvoyée par le serveur IdP doit inclure les informations suivantes :
 
1. e-SignLive attend une assertion SAML valide avec le statut SUCCESS
2. e-SignLive attend que les champs « email », « first name » et « last name » soient inclus dans la réponse SAML renvoyée par le serveur IdP. Les informations attendues doivent être accompagnées des attributs suivants (sensibles à la casse) :
a) Pour l'adresse e-mail, les attributs possibles sont : « email », « emailaddress », « mail »
b) Pour le prénom, les attributs possibles sont : « firstname », « givenname », « cn »
c) Pour le nom de famille, les attributs possibles sont : "lastname", "surname", "sn"
3. e-SignLive attend également <NameID> dans le cadre de <Subject> dans la réponse SAML.