SAML SSO-收到来自IdP的saml响应上的urn:oasis:names:tc:SAML:2.0:status:AuthnFailed错误状态

时间:2018-08-28 16:27:37

标签: authentication single-sign-on saml saml-2.0 pingfederate

我们的应用程序位于SAML SSO 2.0上以供登录。我们刚刚从IdP收到了saml响应状态中的错误消息,但我不确定这实际上意味着什么,以及需要执行哪些操作才能解决该问题。

我们的客户使用的身份提供者是Ping Federate,我们很早以前就已经在其IdP和我们的应用之间成功配置了SSO设置。 到目前为止没有问题,现在突然间,当用户尝试登录时,突然出现了“身份验证失败”错误。

有人可以澄清一下这到底意味着什么吗?

SSO上的应用程序(服务提供商)端没有任何更改,这是否意味着问题出在IdP端?

让我知道。谢谢。

这是saml响应(签名和客户端标识符已更改)

<samlp:Response Version="2.0" ID="hbj8oC64PBip6qPoM9jrpS1OCfI" IssueInstant="2018-08-28T15:16:43.824Z" InResponseTo="_9a55c2b67dcd76cee19828ff496206a61b4c51237c" Destination="https://exampleapp.com/saml/login/callback" 
    xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">foobar</saml:Issuer>
    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:SignedInfo>
            <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
            <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
            <ds:Reference URI="#hbj8oC64PBip6qPoM9jrpS1OCfI">
                <ds:Transforms>
                    <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
                    <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                </ds:Transforms>
                <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
                <ds:DigestValue>rVffko3J5H6izfHOi4m0r4vtLHVLKbZqX6VmhYW7wIw=</ds:DigestValue>
            </ds:Reference>
        </ds:SignedInfo>
        <ds:SignatureValue>
CuLJsdfsdfxc9C81bcFYtahXu98eS2izTwXUp7Hi592Qh5/b/bNgyaDjV1l3r0R4dcx+wP6IDPnqIxpk7h BezfbD8bqm1cBC3AFgLh0b9RByGto2qpxJv1HP1sMkAk03x6JPq7ec6fAFJdrkeKMq5dyl8eodjy lNu0Ql3qY3k1gIerTToQZULkAZp8WLIekPpaOKzvXotzZx3dLoprn/XA+BKZZgR8WP7jZ4t/3jJF YF1l2WjaSWOJgoz8PIjwPJZ7mvqjvYbY3u726vra3x+c0wzp+qlNZNbUzqg2CQ07RICMgHbnLKMA /PiF81helnjOCOdOTIrFmkxoiwvYz3Th6/1sLA==
        </ds:SignatureValue>
    </ds:Signature>
    <samlp:Status>
        <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder">
            <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:AuthnFailed"/>
        </samlp:StatusCode>
        <samlp:StatusMessage>Authentication Failed</samlp:StatusMessage>
        <samlp:StatusDetail>
            <Cause>org.sourceid.websso.profiles.idp.FailedAuthnSsoException</Cause>
        </samlp:StatusDetail>
    </samlp:Status>
</samlp:Response>

1 个答案:

答案 0 :(得分:0)

是的,问题出在IDP端:由于某种原因,它无法验证用户身份。 IDP端的日志应该告诉您(或:它们)更多信息。

相关问题
最新问题