icon
skip to content

SSO : qu'est-ce que l'authentification unique ? Service SSO universel pour les entreprises

Single Sign-on Service

 

Contenu

Ce que signifie l'authentification unique et son fonctionnement

Inconvénients et avantages de l'authentification unique

Exemples d'authentification unique

Service SSO universel par Hideez

Exemple de configuration d'ASA AnyConnect VPN sur Hideez Enterprise Server via SAML

Configurer HES en tant qu'IdP

Configurer ASA pour SAML via CLI

Ajouter le fournisseur de services au HES

Vérification finale

Problèmes courants

Dépannage

 

Lorsque vous naviguez dans une application ou un site Web, vous avez probablement vu l'option de connexion avec Facebook ou GoogleEt la prochaine chose que vous savez, vous êtes magiquement connecté au site Web tiers sans même créer de compte

Ce n'est pas de la magie, c'est une technologie d'authentification unique, ou SSOQu'est-ce que c'est, comment ça marche et pourquoi tant d'organisations modernes l'utilisent-elles pour des raisons de sécurité ?

Ce que signifie l'authentification unique et son fonctionnement

L'authentification unique est un processus d'authentification des utilisateurs qui permet aux utilisateurs d'accéder à plusieurs applications avec un ensemble d'identifiants de connexion, comme un nom d'utilisateur et un mot de passeCela signifie qu'une fois qu'un utilisateur est connecté, il n'a pas à se connecter à plusieurs reprises pour chaque application liée à ce système.

En fait, l'authentification unique est un accord de gestion d'identité fédérée entre trois entités : 

  • Utilisateurs —  Les personnes individuelles ont besoin d'accéder à différents servicesIls doivent être en mesure de gérer des informations personnelles telles que leur identifiant ou leur mot de passe, et ils doivent être identifiables de manière unique
  • Fournisseurs de services (SP) Traditionnellement, il s'agit de sites Web et d'applications auxquels les utilisateurs souhaitent accéder, mais ils peuvent inclure toutes sortes de produits et services tels que l'accès WiFi, votre téléphone ou vos appareils « Internet des objets »
  • Fournisseurs d'identité (IdP) Bases de données qui stockent les identités des utilisateurs qui peuvent ensuite être fédérées à diverses ressources informatiquesIls peuvent également stocker de nombreuses instanciations de l'identité de l'utilisateur, qui contiennent des informations telles que des noms d'utilisateur, des mots de passe, des clés SSH, des informations biométriques et d'autres attributs.L'un des fournisseurs d'identité les plus populaires de nos jours est Microsoft Active Directory, qui a été conçu pour gérer les noms d'utilisateur et les mots de passe Windows et les connecter aux ressources informatiques Windows sur site.

Pour que l'authentification unique fonctionne, la plupart des applications s'appuient sur des protocoles standard ouverts pour définir la manière dont les fournisseurs de services et les fournisseurs d'identité peuvent échanger des informations d'identité et d'authentification. Les protocoles les plus courants sont SAML, OAuth et OpenID Connect (OIDC) qui permettent en toute sécurité à un service d'accéder aux données d'un autre

Aujourd'hui, nous pouvons observer une tendance que les entreprises commencent à réaliser : le travail à distance à domicile signifie que davantage d'utilisateurs doivent se connecter à leurs comptes via Internet pour accéder à des informations importantes.Et c'est le tout nouveau domaine des vecteurs d'attaque potentielsLes criminels le savent déjà et ils en profitentAinsi, de plus en plus d'entreprises commencent à faire face à ces nouvelles menaces en mettant en œuvre des solutions SSO

Inconvénients et avantages de l'authentification unique

Le principal avantage de l'authentification unique est la grande expérience utilisateur et la commodité qu'elle apporte aux utilisateursIls ont un minimum de mots de passe à retenir, cela simplifie le processus de connexion et réduit les risques d'hameçonnage

Le SSO est particulièrement intéressant pour les entreprises exécutant des opérations à distance en raison de la COVID-19, car les services d'authentification unique offrent l'authentification la plus sécurisée et la plus conviviale pour les connexions à distanceL'utilisation de SSO peut également faire partie d'un système de gestion d'accès intégré pour un provisionnement et un déprovisionnement plus rapides des utilisateurs

D'un autre côté, l'authentification unique présente des risques car elle crée un point de défaillance unique qui peut être exploité par des pirates pour accéder à d'autres applicationsDe plus, lcomme de nombreux outils informatiques, le SSO nécessite une mise en œuvre et une configuration qui peuvent s'avérer assez coûteuses

De nombreux fournisseurs d'authentification unique facturent individuellement par fonctionnalité, de sorte que les frais s'additionnent rapidement et peuvent devenir une lourde charge pour le budget des petites et moyennes entreprises.

Quoi qu'il en soit, nous pensons que la commodité de l'authentification unique vaut toutes les lacunes qu'elle apporte

Exemples d'authentification unique

Un exemple typique et bon d'authentification unique est GoogleTout utilisateur connecté à l'un des services Google est automatiquement connecté à d'autres services tels que Gmail, Google Drive, Youtube, Google Analytics, etc.

L'authentification unique utilise généralement un service central qui orchestre l'authentification unique entre plusieurs clients, qui dans le cas de Google correspond aux comptes Google

Passons maintenant à la sécurité d'entreprise. De nos jours, il existe de nombreux produits et services d'authentification unique pour les entreprises.Il s'agit généralement de gestionnaires de mots de passe avec des composants client et serveur qui connectent l'utilisateur aux applications cibles en rejouant les informations d'identification de l'utilisateur.

Hideez Authentication Service est un exemple de solutions SSO sécuriséesL'un des avantages uniques de Hideez SSO est qu'il permet de combiner les méthodes d'authentification de base (nom d'utilisateur/mot de passe + mot de passe à usage unique) avec des connexions entièrement sans mot de passe (tokens FIDO2 ou application mobile)

Alors, comment fonctionne l'authentification unique Hideez ?

Étape 1 L'utilisateur accède à n'importe quel fournisseur de services, ieapplication supportant les protocoles SAML ou OpenID ;

Étape 2 Le fournisseur de services envoie une requête SAML/OIDC au Serveur Hideez, et l'utilisateur est automatiquement redirigé vers le serveur Hideez ;

Single Sign-on Service

Étape 3 L'utilisateur est invité à saisir ses informations de connexion ou à sélectionner l'une des méthodes d'authentification disponibles : une clé de sécurité matérielle (Yubikey, multifonction Hideez Key ou tout autre jeton de sécurité physique), ou l'application mobile Hideez Authenticator ;

Étape 4 Le serveur Hideez envoie un résultat d'authentification au fournisseur de services et redirige l'utilisateur vers l'application initiale

Étape 5 Un utilisateur est authentifié, probablement sans rien remarquer à part quelques appels de redirection à la barre d'URL de son navigateur

Service SSO universel par Hideez

Hideez Single Sign-On Service est un fournisseur d'identité SAML (IdP) qui ajoute l'authentification unique à Windows Active Directory à l'aide de SAML 20 fédérationLes administrateurs peuvent configurer l'authentification unique pour n'importe quelle application Web ou mobile prenant en charge les normes OpenID Connect ou SAML Et en plus, nous rendons le SSO entièrement sans mot de passe !

Contrairement à SSO avec des connexions traditionnelles basées sur un mot de passe, Hideez SSO peut éliminer les mots de passe et les remplacer par FIDO2/application mobile expérience sans mot de passe, si possibleMême si certaines de vos applications ne prennent pas en charge les normes SAML ou OIDC et ne peuvent pas être entièrement sans mot de passe, vous pouvez utiliser la clé Hideez comme gestionnaire de mot de passe matériel et remplir automatiquement les identifiants de connexion en appuyant sur le bouton

Vous pouvez choisir le facteur d'authentification le plus pratique pour vos employés :

  • SmartphonesHideez Authenticator est une application SSO pour les appareils Android et iOSIl peut transformer les smartphones des utilisateurs en jetons matériels sans mot de passe qui remplacent leurs noms d'utilisateur et mots de passe par une ouverture de session sécurisée basée sur des codes QR à usage unique en utilisant la vérification biométrique ou la vérification du code PIN dans le smartphone de l'utilisateur final
  • Clés de sécurité matériellesLes jetons Hideez Key sont des appareils multifonctions Bluetooth/NFC/USB protégés par un code PINVous pouvez les utiliser pour vous connecter à des services sans mot de passe basés sur la norme FIDO2, stocker les informations d'identification pour les connexions basées sur un mot de passe, générer des mots de passe à usage unique pour 2FA et même verrouiller ou déverrouiller Windows ordinateurs basés sur la proximité de l'appareil

Hideez Enterprise Server s'intègre aux systèmes d'identité Microsoft Active Directory, Azure Active Directory et LDAP pour simplifier l'intégration et la gestion des utilisateurs Vos employés peuvent utiliser une seule application SSO pour accéder à toutes les choses, ce qui rend Hideez SSO Service super convivialSans oublier que vous n'avez pas à vous souvenir des identifiants de connexion ou à penser à prévenir le phishing et les vols d'identité

Hideez surpasse tous les concurrents actuels en termes de commodité et de prix, offrant une conformité totale avec les normes d'authentification les plus strictes, telles que GDPR, NIST, PSD2, PSI-DSS et HIPAAEn prenant des mesures de précaution bien à l'avance, vous pouvez économiser beaucoup d'argent et de temps à long terme

Planifiez une démo oudemandez un essai gratuit de 30 jours de Hideez SSO et capturez l'avenir de la sécurité sans mot de passe !

 

Exemple de configuration d'ASA AnyConnect VPN sur Hideez Enterprise Server via SAML

Hideez Enterprise Server (HES) prend en charge SAML 20 (Security Assertion Markup Language) pour l'authentification des utilisateursHES est un IdP (fournisseur d'identité) qui active le SSO pour toutes les applications Web (SP, fournisseur de services) prenant en charge SAML

Étant donné que HES prend en charge l'autorisation sans mot de passe FIDO2, les fournisseurs de services obtiennent automatiquement la possibilité d'autoriser avec des clés de sécurité matérielles sans avoir à créer et à saisir des mots de passe

Exigences

Cisco vous recommande de connaître ces sujets :

  • Connaissance de base de la configuration VPN RA sur ASA
  • Connaissance de base de SAML et Microsoft Active Directory
  • Licences AnyConnect activées (APEX ou VPN uniquement)

Composants utilisés

Les informations contenues dans ce document sont basées sur ces versions logicielles et matérielles :

  • Hideez Enterprise Server 39+
  • Microsoft Active Directory
  • Cisco ASA 97+ et Anyconnect 46+
  • Profil VPN AnyConnect fonctionnel

Les informations contenues dans ce document ont été créées à partir des appareils dans un environnement de laboratoire spécifiqueTous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut)Si votre réseau est actif, assurez-vous de bien comprendre l'impact potentiel de toute commandeVous pouvez également mapper des utilisateurs à des rôles d'application spécifiques en fonction des règles que vous définissez dans votre configuration dans Active Directory, Cisco ASA et Anyconnect

Informations générales

SAML est un cadre basé sur XML pour l'échange de données d'authentification et d'autorisation entre les domaines de sécuritéIl crée un cercle de confiance entre l'utilisateur, un fournisseur de services (SP) et un fournisseur d'identité (IdP) qui permet à l'utilisateur de se connecter en une seule fois pour plusieurs servicesHideez Enterprise Server s'intègre de manière transparente à l'appliance VPN Cisco ASA pour fournir une sécurité supplémentaire pour les connexions VPN Cisco AnyConnect

Composants SAML

Métadonnées : il s'agit d'un document basé sur XML qui garantit une transaction sécurisée entre un IdP et un SPIl permet à l'IdP et au SP de négocier des accords

Rôles pris en charge par les appareils (IdP, SP)

Un appareil peut prendre en charge plusieurs rôles et contenir des valeurs pour un SP et un IdPSous le champ EntityDescriptor se trouve un IDPSSODescriptor si les informations contenues concernent un IdP à authentification unique ou un SPSSODescriptor si les informations contenues concernent un SP à authentification uniqueCeci est important car les valeurs correctes doivent être extraites des sections appropriées afin de configurer SAML avec succès.

Entity ID : Ce champ est un identifiant unique pour un SP ou un IdPUn seul appareil peut avoir plusieurs services et peut utiliser différents identifiants d'entité pour les différencierPar exemple, l'ASA a différents ID d'entité pour différents tunnel-groupes qui doivent être authentifiésUn IdP authentifiant chaque groupe de tunnels a des entrées d'ID d'entité distinctes pour chaque groupe de tunnels afin d'identifier avec précision ces services

ASA peut prendre en charge plusieurs IdP et dispose d'un ID d'entité distinct pour chaque IdP afin de les différencierSi l'un des côtés reçoit un message d'un appareil qui ne contient pas d'ID d'entité précédemment configuré, l'appareil abandonne probablement ce message et l'authentification SAML échoueL'ID d'entité se trouve dans le champ EntityDescriptor à côté de entityID

URL de service : Celles-ci définissent l'URL d'un service SAML fourni par le SP ou l'IdPPour les fournisseurs d'identité, il s'agit le plus souvent du service de déconnexion unique et du service d'authentification uniquePour les SP, il s'agit généralement du service consommateur d'assertion et du service de déconnexion unique

L'URL du service d'authentification unique trouvée dans les métadonnées de l'IdP est utilisée par le SP pour rediriger l'utilisateur vers l'IdP pour l'authentificationSi cette valeur n'est pas correctement configurée, l'IdP ne reçoit pas ou est incapable de traiter avec succès la demande d'authentification envoyée par le SP

L'URL du service consommateur d'assertion trouvée dans les métadonnées du SP est utilisée par l'IdP pour rediriger l'utilisateur vers le SP et fournir des informations sur la tentative d'authentification de l'utilisateurS'il n'est pas configuré correctement, le SP ne reçoit pas l'assertion (la réponse) ou est incapable de la traiter avec succès

L'URL du service de déconnexion unique se trouve à la fois sur le SP et sur l'IdPIl est utilisé pour faciliter la déconnexion de tous les services SSO du SP et est facultatif sur l'ASALorsque l'URL du service SLO des métadonnées de l'IdP est configurée sur le SP, lorsque l'utilisateur se déconnecte du service sur le SP, le SP envoie la demande à l'IdPUne fois que l'IdP a réussi à déconnecter l'utilisateur des services, il redirige l'utilisateur vers le SP en utilisant l'URL du service SLO trouvée dans les métadonnées du SP.

Liaisons SAML pour les URL de service : les liaisons sont la méthode utilisée par le SP pour transférer des informations à l'IdP et vice versa pour les servicesCela inclut la redirection HTTP, HTTP POST et l'artefactChaque méthode a une manière différente de transférer des donnéesLa méthode de liaison prise en charge par le service est incluse dans la définition de ce servicePar exemple : SingleSignOnService Binding="urn:oasis:names:tc:SAML:20:liaisons:HTTP-Redirect" Location="https://samlexemplecom/simplesaml/saml2/idp/SSOServicephp"/ >L'ASA ne prend pas en charge la liaison d'artefactL'ASA utilise toujours la méthode de redirection HTTP pour les demandes d'authentification SAML, il est donc important de choisir l'URL du service SSO qui utilise la liaison de redirection HTTP afin que l'IdP s'attende à cela.

Certificats pour les opérations de signature et de chiffrement

Pour assurer la confidentialité et l'intégrité des messages envoyés entre le SP et l'IdP, SAML inclut la possibilité de chiffrer et de signer les donnéesLe certificat utilisé pour chiffrer et/ou signer les données peut être inclus dans les métadonnées afin que le destinataire puisse vérifier le message SAML et s'assurer qu'il provient de la source attendueLes certificats utilisés pour la signature et le chiffrement se trouvent dans les métadonnées sous KeyDescriptor use="signing" et KeyDescriptor use="encryption", respectivement, puis X509CertificateL'ASA ne prend pas en charge le cryptage des messages SAML

 

Configurer HES en tant qu'IdP

Étape 1Définir les paramètres du fournisseur d'identité

Les IdP et les fournisseurs de services doivent échanger des certificats de clé publique, des adresses pour les demandes et d'autres paramètres pour établir une acceptation entre eux

Un certificat dans le "pfx" ​​est nécessaire au fonctionnement du protocole SAMLIl peut être généré, par exemple, via une application OpenSSL ou en utilisant un certificat existantLe fichier de certificat doit être copié sur le serveur HES (par ex.gle dossier avec les fichiers binaires et les paramètres)

Connectez-vous au serveur HES, puis allez dans Paramètres -> Paramètres -> SAMLAppuyez ensuite sur le bouton [Définir les paramètres IdP] :

Sélectionnez votrepfx et saisissez le mot de passe dupfxVous devez également sélectionner l'algorithme approprié :

SignatureAlgorithm - un algorithme de signatureIl doit correspondre à l'algorithme avec lequel le certificat pfx a été établiLes options possibles sont SHA1, SHA256, SHA384, SHA512

Étape 2Obtenir le fichier de métadonnées HES

Sur la même page (Settings -> Parameters -> SAML), après avoir défini lecertificat pfx, vous pouvez :

  • Afficher les métadonnées · Télécharger les métadonnées · Télécharger le certificat de clé publique

Les métadonnées sont un fichier XML qui contient toutes les informations nécessaires sur les paramètres IdP et le certificat de clé publiqueASA vous permet d'importer des métadonnées IdP lors de la configuration de SAML, ce qui simplifie la configurationVous pouvez également télécharger un certificat séparé, si nécessaire, ou afficher toutes les métadonnées à l'écran

Pour les étapes suivantes, vous devez télécharger le fichier de métadonnées et les fichiers de certificat

 

Configurer ASA pour SAML via CLI

Étape 1Créez un point de confiance et importez notre certificat SAML

# config t

# point de confiance crypto ca HES-SAML

révocation-check none

pas d'utilisation d'identifiant

borne d'enrôlement

pas de contrôle ca

# crypto ca authentifier HES-SAML

-----COMMENCER LE CERTIFICAT-----

Texte du certificat IdP HES que vous avez téléchargé à l'étape précédente

-----END CERTIFICAT-----

# quitter

 

Étape 2 Provisionnez votre fournisseur d'identité SAML

# webvpn

# saml idp https://exemplecachez-vouscom/

# URL de connexion https://exemplecachez-vouscom/Saml/Connexion

# déconnexion de l'url https://examplecachez-vouscom/Saml/Logout

# idp du point de confiance HES-SAML - [IdP Trustpoint]

# point de confiance sp ASA-EXTERNAL-CERT - [Point de confiance SP]

# aucune ré-authentification forcée

# pas de signature

# URL de base https://asaexemplecom

 

Étape 3 Appliquer l'authentification SAML à une configuration de tunnel VPN

# groupe de tunnels TUNNEL-GROUP-NAME attributs webvpn

fournisseur d'identité SAML https://exemplecachez-vouscom/

échantillon d'authentification

# fin

# mémoire d'écriture

 

Étape 4 Obtenir le fichier de métadonnées SAML ASA

Exécutez la commande suivante :

# afficher les métadonnées SAML TUNNEL-GROUP-NAME

Copiez ensuite le texte des métadonnées dans un fichier xml et enregistrez-le

Remarque : Si vous apportez des modifications à la configuration de l'IdP, vous devez supprimer la configuration du fournisseur d'identité saml de votre groupe de tunnels et la réappliquer pour que les modifications prennent effet

 

Ajouter le fournisseur de services au HES

Connectez-vous au serveur HES, puis allez dans Paramètres -> Paramètres -> SAMLAppuyez ensuite sur le bouton [Ajouter un fournisseur de services]

Sur le formulaire suivant, vous pouvez ajouter un fichier de métadonnées ou remplir tous les paramètres manuellement :

  • Émetteur : un nom de SP unique que vous devez copier à partir des paramètres du SP ou extraire du fichier de métadonnées
  • Assertion Consumer Service : l'adresse de connexion du côté du fournisseur de servicesLa redirection est effectuée vers cette adresse après la connexion réussie via le service IdP
  • Service de déconnexion unique - l'adresse pour se déconnecter du compteSi vous quittez IdP, cette URL est ouverte dans la boucle pour tous les SP
  • Public x509 Certificate : le certificat de clé publique du fournisseur de services
  • Name Identifier Format - le format du champ qui identifie l'utilisateur
  • Name Identifier Field - le choix du champ où vous pouvez prendre l'identifiant de l'utilisateur

Étant donné que l'IdP et le SP peuvent utiliser des identifiants différents pour les utilisateurs, un mécanisme de mise en correspondance de ces identifiants est nécessaire pour établir une correspondance biunivoque entre les utilisateurs des deux servicesL'identifiant de l'utilisateur (login) dans HES est son e-mail, bien qu'il puisse s'agir d'autre chose dans d'autres systèmes (par ex.gune combinaison du prénom et du nom de l'utilisateur)

Si votre configuration ASA et AD accepte les e-mails comme ID utilisateur, vous devez définir :

Format de l'identifiant du nom - Champ de l'identifiant du nom de l'e-mail - E-mail

Si la configuration ASA et AD n'accepte pas l'e-mail comme ID utilisateur, vous devez définir le format que vous utilisez dans le champ "Name Identifier Format" et la valeur "ID externe" dans le champ "Name Champ "Identifiant"Ensuite, vous devez remplir le champ 'ID externe' pour chaque employéPour ce faire, cliquez sur Employés -> 'Sélectionner un employé -> Détails -> Modifier les paramètres (dans la section Authentification unique) -> Modifier l'ID externe

Après avoir rempli et enregistré tous les paramètres, vous pouvez vérifier l'intégration en vous connectant au fournisseur de servicesVous devriez être redirigé vers la page d'authentification HES où vous devrez entrer votre nom d'utilisateur (e-mail) et passer la vérification de la clé de sécurité

 

Vérification finale

Étape 1Activer SSO pour un utilisateur dans le HES

Les employés ne peuvent pas se connecter au service HES et utiliser le service SSO par défaut, ils doivent avoir une autorisation explicite de l'administrateurSélectionnez un employé et cliquez sur le bouton [Modifier]Cliquez ensuite sur le bouton [Activer SSO] sur la page ouverte pour donner l'autorisation

Remarque : Un employé doit avoir un e-mail et une clé associée pour activer le service SSO

Le service SSO est automatiquement activé et ne peut pas être désactivé pour tous les administrateurs HES

Si l'ID externe est utilisé comme champ d'identification du nom, vous devez également remplir ce champOuvrez 'Employés' -> 'Sélectionner un employé' -> 'Modifier' pour modifier le champ ID externe

Certains fournisseurs de services peuvent ne pas prendre en charge cette fonctionnalité

Étape 2Se connecter à un service Web à l'aide de SAML

Connectez-vous à votre URL VPN et choisissez l'une de vos options de connexion dans la fenêtre Hideez Enterprise Server, puis utilisez vos identifiants pour vous connecter :

AnyConnect est connecté :

 

Problèmes courants

1ID D'ENTITÉ INCOMPATIBLE

Exemple de débogage : [SAML] consomme_assertion : l'identifiant d'un fournisseur est inconnu de #LassoServerPour enregistrer un fournisseur dans un objet #LassoServer, vous devez utiliser les méthodes lasso_server_add_provider() ou lasso_server_add_provider_from_buffer()

Problème : Signifie généralement que la commande saml idp [entityID] sous la configuration webvpn de l'ASA ne correspond pas à l'ID d'entité IdP trouvé dans le Métadonnées de l'IdP

Solution : Vérifiez l'ID d'entité du fichier de métadonnées de l'IdP et modifiez la commande saml idp [entity id] pour qu'elle corresponde à celle-ci

2DÉCORDEMENT HORAIRE

Exemple de débogage : [SAML] NotBefore :2017-09-05T23:59:01896Z NotOnOrAfter:2017-09-06T00:59:01Délai d'attente 896Z : 0

[SAML] consume_assertion : l'assertion a expiré ou n'est pas valide

Problème 1L'heure de l'ASA n'est pas synchronisée avec l'heure de l'IdP

Solution 1Configurer ASA avec le même serveur NTP utilisé par IdP

Problème 2L'assertion n'est pas valide entre le temps spécifié

Solution 2Modifier la valeur du délai d'attente configurée sur l'ASA

3UTILISATION D'UN CERTIFICAT DE CHANT IDP ERRONÉ

Exemple de débogage : [Lasso] func=xmlSecOpenSSLEvpSignatureVerify:file=signaturesc:line=493:obj=rsa-sha1:subj=EVP_VerifyFinal:error=18 :les données ne correspondent pas :la signature ne correspond pas

[SAML] consomme_assertion : le profil ne peut pas vérifier une signature sur le message

Problème : ASA incapable de vérifier le message signé par l'IdP ou il n'y a pas de signature à vérifier par l'ASA

Solution : Vérifiez le certificat de signature IdP installé sur l'ASA pour vous assurer qu'il correspond à ce qui est envoyé par l'IdPSi cela est confirmé, assurez-vous que la signature est incluse dans la réponse SAML

4AUDIENCE D'ASSERTION INVALIDE

Exemple de débogage : [SAML] consomme_assertion : l'audience d'assertion n'est pas valide

Problème : IdP définit l'audience incorrecte

Solution : Corrigez la configuration de l'audience sur l'IdPIl doit correspondre à l'ID d'entité de l'ASA

5URL ERRONÉE POUR LE SERVICE CONSOMMATEUR D'ASSERTION

Exemple de débogage : impossible de recevoir des débogages après l'envoi de la demande d'authentification initialeL'utilisateur peut entrer des informations d'identification sur l'IdP mais l'IdP ne redirige pas vers l'ASA

Problème : IdP est configuré pour la mauvaise URL de service consommateur d'assertion

Solution(s) : Vérifiez l'URL de base dans la configuration et assurez-vous qu'elle est correcteVérifiez les métadonnées ASA avec show pour vous assurer que l'URL du service consommateur d'assertion est correcteAfin de le tester, parcourez-le, si les deux sont corrects sur l'ASA, vérifiez l'IdP pour vous assurer que l'URL est correcte

5LES MODIFICATIONS DE LA CONFIGURATION SAML NE PRENDENT PAS EFFET

Exemple : Après la modification ou le changement d'une URL de connexion unique, le certificat SP, SAML ne fonctionne toujours pas et envoie les configurations précédentes

Problème : ASA doit régénérer ses métadonnées lorsqu'un changement de configuration l'affecteIl ne le fait pas automatiquement

Solution : Après avoir apporté des modifications, sous le groupe de tunnels concerné, supprimez et réappliquez la commande saml idp [entity-id]

 

Dépannage

La plupart des dépannages SAML impliquent une mauvaise configuration qui peut être détectée lorsque la configuration SAML est vérifiée ou que des débogages sont exécutésdebug webvpn saml 255 peut être utilisé pour résoudre la plupart des problèmes, mais dans les scénarios où ce débogage ne fournit pas d'informations utiles, des débogages supplémentaires peuvent être exécutés :

Vous avez besoin d'aide ? Essayez de rechercher dans nos articles de la base de connaissances ou contactez Assistance pour obtenir de l'aide