Hola amig@s 👏, soy Mila Jiménez y hoy me apetecía escribir sobre: ⏬ SAML SSO – Opciones de resolución de problemas de FortiManager/FortiAnalyzer
Descripción
Cómo solucionar errores de inicio de sesión de SAML SSO con FortiManager/FortiAnalyzer en el rol de SP.
Alcance
FortiManager y FortiAnalyzer
Solución
Una vez que el usuario es autenticado por el IdP, la GUI de FortiManager/FortiAnalyzer puede devolver diferentes errores si algo en la afirmación es incorrecto o inesperado.
Esos errores generalmente se muestran como un banner rosa en la parte superior de una página en blanco y el mensaje ofrece una descripción bastante clara del problema (con una excepción).
A continuación se muestran algunos de los errores comunes y sus posibles causas.
Error del servidor web 500 (sin pancarta rosa en este caso)
Posibles Causas:
- Perdido
reclamación en la aserción de IdP - FQDN no válido en las URL del SP. Por ejemplo, se usa un nombre de host en lugar de FQDN en la configuración de la dirección SP (dirección del servidor) de la configuración de SSO SAML de FortiManager/FortiAnalyzer.
- Un atributo/valor no compatible en el
del IdP también puede desencadenar este error. Solamente «nombre de usuario” se analiza, por lo que es bueno eliminar todos los demás reclamos predeterminados de la respuesta del IdP.
invalid_response: no hay AttributeStatement en la respuesta
Posibles Causas:
<AttributeStatement> falta completamente en la respuesta de IdP.
Ocurre generalmente si el IdP no tiene atributos predeterminados (es decir, ADFS) o todos los atributos se eliminaron por error.
A la respuesta SAML le falta el atributo de aserción «nombre de usuario»
Posibles Causas:
“nombre de usuarioEl atributo «no está configurado en los reclamos/atributos personalizados en el lado de IdP.
Este atributo es obligatorio para la implementación de SAML de FortiManager/FortiAnalyzer.
El valor de «nombre de usuario» también debe coincidir con el valor de «ID de nombre»
El administrador «xxxxx» no existe
Posibles Causas:
«Auto Create Admin» está deshabilitado en la configuración de SSO SAML de FortiManager/FortiAnalyzer y el <nombre de usuario> valor en el <Atributo Declaración> no coincide con un usuario local.
No se pudo crear el administrador de SSO
Posibles Causas:
«Auto Create Admin» está habilitado en la configuración de SSO SAML de FortiManager/FortiAnalyzer, pero el <nombre de usuario> valor en el <Atributo Declaración> contiene caracteres no admitidos. Por ejemplo, cuenta externa de Azure AD que contiene el signo «#».
invalid_response: emisor no válido en la afirmación/respuesta (se esperaba aaa, se obtuvo bbb)
Posibles Causas:
URL «IdP Entity ID» mal configurada en la configuración de FortiManager/FortiAnalyzer
SAML LogoutRequest/LogoutResponse no encontrado. Solo se admite el enlace HTTP_REDIRECT
Posibles Causas:
«URL de cierre de sesión de IdP» mal configurada en la configuración de FortiManager/FortiAnalyzer o enlace de endpoint de cierre de sesión mal configurado en la configuración de la parte de confianza del lado del IdP (aplicación).
invalid_logout_request_signature, Falló la validación de la firma. Solicitud de cierre de sesión rechazada: la validación de la firma falló. Solicitud SAML rechazada
Posibles Causas:
mal configurado»URL de cierre de sesión de IdP» en la configuración de FortiManager/FortiAnalyzer, tal vez apuntando a un endpoint de IdP que requiere solicitudes de cierre de sesión firmadas.
invalid_response: Falló la validación de la firma. Respuesta SAML rechazada
Posibles Causas:
La firma de respuesta de IdP no coincide con el certificado de IdP seleccionado en FortiManager/FortiAnalyzer. Generalmente causado por un certificado incorrecto importado/seleccionado en la configuración de SAML SSO.
invalid_response: No se encontró ninguna firma. Respuesta SAML rechazada
Posibles Causas:
<valor de la firma> falta en el IdP /response. La configuración incorrecta del lado IdP impide que firme la respuesta.
Puede haber otros errores, no cubiertos por este artículo.
Es posible que sea necesario analizar la aserción para verificar los errores y/o seguir solucionando el problema.
La forma más sencilla de capturar la solicitud/respuesta SAML es mediante el uso de una extensión/complemento, instalado en el navegador del usuario.
A continuación se muestran dos extensiones de Chrome fáciles de usar, que agregan una pestaña SAML a Chrome Dev Tools (F12).
1. «SAML DevTools» muestra de forma predeterminada todos los mensajes HTTP, pero se puede cambiar manualmente para mostrar solo SAML:
https://chrome.google.com/webstore/detail/saml-devtools-extension/jndllhgbinhiiddokbeoeepbppdnhhio
2. «SAML Chrome Panel» tiene los filtros SAML habilitados de forma predeterminada, lo que lo hace más conveniente en algunos casos. También permite exportar los datos como un archivo JSON, que luego se puede importar y analizar en otra computadora que tenga un navegador basado en Chrome con la misma extensión:
https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace
Hay muchas herramientas similares y también para otros navegadores. Independientemente de cuál se use, la parte importante es ver si FortiManager/FortiAnalyzer está enviando la solicitud de autenticación de SP correcta y verificar si la respuesta/afirmación de IdP contiene las URL, las firmas y los atributos correctos.
Al crear tickets de soporte técnico para problemas de SAML con FortiManager/FortiAnalyzer, asegúrese de proporcionar lo siguiente:
– Descripción clara del problema, incluido el mensaje de error y/o una captura de pantalla del problema
– Salida del comando CLI de FortiManager/FortiAnalyzer ># obtener sistema samyo
– Copia de la Solicitud de SP y la Respuesta/Afirmación de IdP de la extensión del navegador
.
✅ Para terminar, felicitarte que hayas leído hasta el final de esta publicación. Esperamos que haya servido para solucionar tus problemas y que nos guardes en tus favoritos.
Si no logras encontrar solución a tu dilema escribe en la barra de búsqueda o pregúntanos en la caja de comentarios.
¡Nos vemos!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!