Hej

 

En regel saknas, den som skapar "urn:adfstk:edupersontargetedid”

 

När sedan issueregeln kommer i spel så blir det aldrig en ”match”

18. issue eduPersonTargetedID

Custom Rule:

c:[Type == "urn:adfstk:edupersontargetedid"]

=> issue(Type = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier, Issuer =

c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,

Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format] =

"urn:oasis:names:tc:SAML:2.0:nameid-format:transient",

Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier] =

https://box-idp.nordu.net/simplesaml/module.php/saml/sp/metadata.php/default-sp,

Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier] =

http://adfs.sp.se);

 

dvs. skickas aldrig något nameId över huvud taget

 

Mvh Tommy Larsson

 

Från: Anders C Jansson via Saml-admins <saml-admins@lists.sunet.se>
Skickat: den 13 november 2023 16:35
Till: Johan Peterson <johan.peterson@liu.se>; Anders Persson <anders.persson@ri.se>; saml-admins@SWAMID.SE
Ämne: [Saml-admins] Re: Problem med inloggning BOX

 

Hej Johan,

Vi får dessa eventid i ADFS miljön. Bifogar även våra claims för denna RPT:

 

 

And This:

 

 

Anders Jansson

Tjänsteansvarig Identitet & Certifikat

Digital utveckling och IT

Andvändarnära IT

 

D: +46 10 228 4931 |  M: +46 073 021 9150

anders.c.jansson@ri.se

 

RISE Research Institutes of Sweden | ri.se
Brinellgatan 4, 504 62 Borås | Box 857, SE-501 15 Borås

 

 

För info om hur vi hanterar dina personuppgifter
besök ri.se/personuppgifter

 

 

 

 

Från: Johan Peterson <johan.peterson@liu.se>
Skickat: den 13 november 2023 15:56
Till: Anders Persson <anders.persson@ri.se>; saml-admins@SWAMID.SE
Kopia: Anders C Jansson <anders.c.jansson@ri.se>
Ämne: RE: Problem med inloggning BOX

 

Hej Anders,

 

Får du fel i eventloggen?

Jag funderar på ifall ni råkar släppa flera NameID t.ex. det har vi sett förr.

 

Du får gärna skicka alla transform rules för djupare felsökning.

Med vänlig hälsning
Johan Peterson
IT-Arkitekt

Linköpings universitet

Digitaliseringsavdelningen
DIG❤️IT
581 83 Linköping
Telefon: 013-28 5730
Mobil: 0703-222 405
Besöksadress: Hus Galaxen
Besök oss gärna på: www.liu.se

När du skickar e-post till Linköpings universitet innebär detta att Linköpings universitet behandlar dina personuppgifter. Läs mer om hur detta går till på https://liu.se/artikel/integritetspolicy-liu

 

 

From: Anders Persson via Saml-admins <saml-admins@lists.sunet.se>
Sent: den 7 november 2023 12:03
To: saml-admins@SWAMID.SE
Cc: Anders C Jansson <anders.c.jansson@ri.se>
Subject: [Saml-admins] Problem med inloggning BOX

 

Vi har idag fått in rapporter om att det inte går att logga in hos box.com

 

Man möts av följande:

Sign On Error

Single sign-on authentication was unsuccessful (reference # AJASFRWC).

Partner: https://box-idp.nordu.net/simplesaml/saml2/idp/metadata.php

Target Resource: https://rise.account.box.com/sso/ping_federate?from=box&redirect_url=%2F

 

Som inte sager något vettigt. Kollar man däremot med Firefox plugin SAML-Trace så ser man bla detta:

 

Vi får en AuthRequest

<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"

                    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"

                    ID="_d72dc68e6822b629521c4302ea85fae406444d71c1"

                    Version="2.0"

                    IssueInstant="2023-11-07T09:14:56Z"

                    Destination=https://adfs.sp.se/adfs/ls/

                    AssertionConsumerServiceURL=https://box-idp.nordu.net/simplesaml/module.php/saml/sp/saml2-acs.php/default-sp

                    ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"

                    >

    <saml:Issuer>https://box-idp.nordu.net/simplesaml/module.php/saml/sp/metadata.php/default-sp</saml:Issuer>

    <samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"

                        AllowCreate="true"

                        />

</samlp:AuthnRequest>

 

Och svarar

<samlp:Response ID="_165fe9fe-330d-4ab5-90f6-7fa10d494461"

                Version="2.0"

                IssueInstant="2023-11-07T09:15:01.072Z"

                Destination=https://box-idp.nordu.net/simplesaml/module.php/saml/sp/saml2-acs.php/default-sp

                Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified"

                InResponseTo="_d72dc68e6822b629521c4302ea85fae406444d71c1"

                xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"

                >

 

    -- massa xml bortplockad

 

     <samlp:Status>

        <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester">

            <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy" />

        </samlp:StatusCode>

    </samlp:Status>

</samlp:Response>

 

 

För mig verkar det som om box.com har gjort någon konfigurationsändring som har med NameId att göra.

 

Vår releas för NameId ser ut som följer:

c:[Type == "urn:adfstk:edupersontargetedid"]

=> issue(Type = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier, Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier] = https://box-idp.nordu.net/simplesaml/module.php/saml/sp/metadata.php/default-sp, Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier] = http://adfs.sp.se);

 

För mig ser det rätt ut. Några ideer någon??

 

 

Anders Persson

Systemarkitekt

Digital utveckling och IT

IT

Utvecklingsstöd

 

D: +46 10 516 5448 |  V: +46 10 516 50 00

anders.persson@ri.se

 

RISE Research Institutes of Sweden | ri.se

Brinellgatan 4 | Box 857, SE-501 15 Borås

 

För info om hur vi hanterar dina personuppgifter
besök ri.se/personuppgifter