5:39 p.m.
I dont see any special config for ri.se <http://ri.se/> or sp.se
<http://sp.se/> in the box-idp.nordu.net <http://box-idp.nordu.net/>
configuration.
It might be that your idp used to send eduPersonEntitlement, or your user’s
eduPersonScopedAffiliation used to be a different domain?
Anyway the box idp requires mail and eduPersonEntitlement(a rather specific
urn:mace:swami.se:….)/eduPersonScopedAffiliation and if I recall correctly
schacHomeOrganization.
Only change recently on box-idp.nordu.net’s side was the annual swamid metadata
confirmation, which should not have changed anything.
/Markus
On 7 Nov 2023, at 12.02, Anders Persson via
Saml-admins <saml-admins(a)lists.sunet.se> wrote:
Vi har idag fått in rapporter om att det inte går att logga in hos box.com
<http://box.com/>
Man möts av följande:
Sign On Error
Single sign-on authentication was unsuccessful (reference # AJASFRWC).
Partner: https://box-idp.nordu.net/simplesaml/saml2/idp/metadata.php
Target Resource:
https://rise.account.box.com/sso/ping_federate?from=box&redirect_url=%2F
Som inte sager något vettigt. Kollar man däremot med Firefox plugin SAML-Trace så ser man
bla detta:
Vi får en AuthRequest
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_d72dc68e6822b629521c4302ea85fae406444d71c1"
Version="2.0"
IssueInstant="2023-11-07T09:14:56Z"
Destination=https://adfs.sp.se/adfs/ls/
AssertionConsumerServiceURL=https://box-idp.nordu.net/simplesaml/module.php…
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
<saml:Issuer>https://box-idp.nordu.net/simplesaml/module.php/saml/sp/metadata.php/default-sp</saml:Issuer
<https://box-idp.nordu.net/simplesaml/module.php/saml/sp/metadata.php/default-sp%3c/saml:Issuer>>
<samlp:NameIDPolicy
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"
AllowCreate="true"
/>
</samlp:AuthnRequest>
Och svarar
<samlp:Response ID="_165fe9fe-330d-4ab5-90f6-7fa10d494461"
Version="2.0"
IssueInstant="2023-11-07T09:15:01.072Z"
Destination=https://box-idp.nordu.net/simplesaml/module.php/saml/sp/saml2-a…
Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified"
InResponseTo="_d72dc68e6822b629521c4302ea85fae406444d71c1"
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
-- massa xml bortplockad
<samlp:Status>
<samlp:StatusCode
Value="urn:oasis:names:tc:SAML:2.0:status:Requester">
<samlp:StatusCode
Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy" />
</samlp:StatusCode>
</samlp:Status>
</samlp:Response>
För mig verkar det som om box.com <http://box.com/> har gjort någon
konfigurationsändring som har med NameId att göra.
Vår releas för NameId ser ut som följer:
c:[Type == "urn:adfstk:edupersontargetedid"]
=> issue(Type = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier,
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType =
c.ValueType,
Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/f… =
"urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/s…
= https://box-idp.nordu.net/simplesaml/module.php/saml/sp/metadata.php/defaul…,
Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/n… =
http://adfs.sp.se <http://adfs.sp.se/>);
För mig ser det rätt ut. Några ideer någon??
Anders Persson
Systemarkitekt
Digital utveckling och IT
IT
Utvecklingsstöd
D: +46 10 516 5448 | V: +46 10 516 50 00
anders.persson(a)ri.se <mailto:anders.persson@ri.se>
RISE Research Institutes of Sweden | ri.se <http://www.ri.se/>
Brinellgatan 4 | Box 857, SE-501 15 Borås
För info om hur vi hanterar dina personuppgifter
besök ri.se/personuppgifter <http://ri.se/personuppgifter>
_______________________________________________
Saml-admins mailing list -- saml-admins(a)lists.sunet.se
<mailto:saml-admins@lists.sunet.se>
To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
<mailto:saml-admins-leave@lists.sunet.se>