この投稿記事は役に立ちましたか?
コメントありがとうございます。
Webex SSO SAML アサーションを解読するには?
フィードバックがある場合シングル サインオン展開のトラブルシューティングを行い、認証が失敗したとします。この場合、ID プロバイダー ロギングまたはサービス プロバイダー (Webex) アプリケーションのエラーを利用して、問題を解決するための手がかりを得ることができます。
ID プロバイダーが SAML アサーションで正しい詳細を渡すが、認証がまだ失敗している場合、SAML Tracer などのツールを使用して SAML アサーション内のコンテンツを検査する必要がある場合があります。検査する SAML アサーションが暗号化されている場合、アサーションを復号化するために ID プロバイダーを設定できます。これにより、Webex に渡される属性と値を明示的に識別できます。各 ID プロバイダーには、暗号化された SAML アサーションの制御を処理するさまざまな方法があり、それらを復号するために必要な手順については、ベンダーのマニュアルに従う必要があります。
Active Directory フェデレーション サービス (ADFS) は Webex 展開内で広く使用されている ID プロバイダであるため、ADFS サーバー上の Webex アプリケーションに使用される SAML アサーションの暗号化を 一時的に無効にする 手順を文書化しました。
次の手順に従ってください。
- Active Directory フェデレーションサービス(ADFS)にログインします。
- Windows PowerShell を起動します。
- 次のコマンドを入力して、Webex アプリケーションの SAML アサーションを解読します(%ORG_ID% 実際の Webex 組織 ID と置き換え): Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/%ORG_ID% -EncryptClaims $False。
- 認証の問題を再現し、SAML トレーサーをキャプチャします。
- ステップ 3 で同じコマンドを入力し、-EncryptClaims $True フラグを変更することで、暗号化を再度有効にします。
注意:TargetIdentifier 値は、Control Hub からダウンロードした Webex メタデータ ファイルから取得できます。TargetIdentifier 値は、Webex メタデータ ファイルの最初の行で見つかった entityID 値にマッピングされます。
この投稿記事は役に立ちましたか?
