Назад | Перейти на главную страницу

Неверный запрос SAML

Я пытаюсь настроить веб-вход SAML на сервере Domino. Я получил XML-файл метаданных SAML 2.0 от поставщика удостоверений, которым является Oracle Identity Federation 11g.

Я импортировал метаданные в документ конфигурации IdP и получил первую фазу входа в систему, чтобы пользователь был перенаправлен на сервер IdP для входа.

Когда вход в IdP завершен, я перенаправляюсь обратно на сервер Domino и получаю «Ошибка 400 веб-сервер HTTP: неверный запрос SAML». Я пробовал установить DEBUG_SAML notes.ini с разными номерами и, наконец, все вместе: DEBUG_SAML = 11199. Это отображается на консоли сервера:

ProduceSaml2ADFSReply: https://oracle-idp-site.net/fed/idp/initiatesso?providerid=http://mytestsite.fi&returnurl=http://mytestsite.fi/dev/ph/xp.nsf/test.xsp&loginToRp=http://mytestsite.fi
Relay state is not equal [1575470014] - [http://mytestsite.fi/dev/ph/xp.nsf/test.xsp], url decoded/decripted [
http://mytestsite.fi/dev/ph/xp.nsf?$$_vrd2=95ed6770a665e89b35e0a74c03e6b463-b4cea507-ysrLzM3LyMx47oPqJm7hhAT%2FwyC%2BkYQ8GVN1HA%2BVb2FnIek6KcAxlr%2FzuOW018x5SUc5ULLb0zLZs3avb0UaT4t%2FepmI%2FcR29lrkKXIa9lxT9XvViDytNdpVObJG]
Could not decode cookie. Dump post data:
PostFieldName - SAMLResponse - Data - 
PHNhbWxwOlJlc3BvbnNlIHhtbG5zOnNhbWxwPSJ1cm46b2FzaXM6bmFtZXM6dGM6U0FNTDoyLjA6cHJvdG9jb2wiIERlc3RpbmF0aW9uPSJodHRwOi8vZGV2LnNvdmVsbHVzdGFsby5maS9uYW1lcy5uc2Y/U0FNTExvZ2luIiBJRD0iaWQtcnpaeUlWRmY3a3BLMFR1SGVMeTR5T3RnaGFJLSIgSXNzdWVJbnN0YW50PSIyMDEzLTA5LTE5V
PostFieldName - RelayState - Data - http://mytestsite.fi/dev/ph/xp.nsf/test.xsp
19.09.2013 15:17:19   HTTP Web Server: Bad SAML Request [/names.nsf?SAMLLogin] Anonymous

Я перехожу к URL http://mytestsite.fi/names.nsf?SAMLLogin с Ошибка 400 упомянутое выше. В качестве URL-адреса службы единого входа у меня есть:

https://oracle-idp-site.net/fed/idp/initiatesso?providerid=http://mytestsite.fi&returnurl=http://mytestsite.fi/dev/ph/xp.nsf/test.xsp

Это структура URL-адреса, которая работает с продуктом Oracle. Для продукта федерации в документе конфигурации IdP задано значение ADFS когда я импортировал метаданные, но я также пробовал с TFIM.

Причина неудачи кажется «Состояние реле не равно» или «Не удалось расшифровать cookie» но что с ними делать?

РЕДАКТИРОВАТЬ 2013-09-26

Служба поддержки IBM отказалась мне помочь, потому что Domino поддерживает только MS AD и IBM TFIM в качестве IdP. Я думал, что SAML - это стандарт.

У нас была такая же ошибка, мы обнаружили, что сертификат x509 в конфигурации IdP не был импортирован или скопирован правильно. Мы скопировали прямо из файла XML в блокнот, удалили все пробелы и разрывы строк и вставили обратно в файл конфигурации. Перезапустите HTTP, и проблема решена.

Я не знаю, разрешили ли вы когда-нибудь эту проблему, но мне, наконец, удалось разобраться с этой ошибкой для федерации, которую я создавал. Если вы укажете Domino настроить федерацию с ADFS, он установит файл cookie с именем DOMSTATE, который необходимо установить все время.

Также обратите внимание, если вы установите флаг Relaystate в сообщении saml обратно на сервер домино, сервер домино примет указанное там значение и сопоставит его с файлом cookie domstate. Так что я решил эту проблему, не отправив флаг relaystate обратно на сервер домино.