On 7 Nov 2023, at 12.02, Anders Persson via Saml-admins <saml-admins@lists.sunet.se> wrote:

Vi har idag fått in rapporter om att det inte går att logga in hos box.com

 

Man möts av följande:

Sign On Error

Single sign-on authentication was unsuccessful (reference # AJASFRWC).

Partner: https://box-idp.nordu.net/simplesaml/saml2/idp/metadata.php

Target Resource: https://rise.account.box.com/sso/ping_federate?from=box&redirect_url=%2F

 

Som inte sager något vettigt. Kollar man däremot med Firefox plugin SAML-Trace så ser man bla detta:

 

Vi får en AuthRequest

<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"

                    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"

                    ID="_d72dc68e6822b629521c4302ea85fae406444d71c1"

                    Version="2.0"

                    IssueInstant="2023-11-07T09:14:56Z"

                    Destination=https://adfs.sp.se/adfs/ls/

                    AssertionConsumerServiceURL=https://box-idp.nordu.net/simplesaml/module.php/saml/sp/saml2-acs.php/default-sp

                    ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"

                    >

    <saml:Issuer>https://box-idp.nordu.net/simplesaml/module.php/saml/sp/metadata.php/default-sp</saml:Issuer>

    <samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"

                        AllowCreate="true"

                        />

</samlp:AuthnRequest>

 

Och svarar

<samlp:Response ID="_165fe9fe-330d-4ab5-90f6-7fa10d494461"

                Version="2.0"

                IssueInstant="2023-11-07T09:15:01.072Z"

                Destination=https://box-idp.nordu.net/simplesaml/module.php/saml/sp/saml2-acs.php/default-sp

                Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified"

                InResponseTo="_d72dc68e6822b629521c4302ea85fae406444d71c1"

                xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"

                >

 

    -- massa xml bortplockad

 

     <samlp:Status>

        <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester">

            <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy" />

        </samlp:StatusCode>

    </samlp:Status>

</samlp:Response>

 

 

För mig verkar det som om box.com har gjort någon konfigurationsändring som har med NameId att göra.

 

Vår releas för NameId ser ut som följer:

c:[Type == "urn:adfstk:edupersontargetedid"]

=> issue(Type = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier, Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier] = https://box-idp.nordu.net/simplesaml/module.php/saml/sp/metadata.php/default-sp, Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier] = http://adfs.sp.se);

 

För mig ser det rätt ut. Några ideer någon??

 

 

Anders Persson

Systemarkitekt

Digital utveckling och IT

IT

Utvecklingsstöd

 

D: +46 10 516 5448 |  V: +46 10 516 50 00

anders.persson@ri.se

 

RISE Research Institutes of Sweden | ri.se

Brinellgatan 4 | Box 857, SE-501 15 Borås

 

För info om hur vi hanterar dina personuppgifter
besök ri.se/personuppgifter

 

_______________________________________________
Saml-admins mailing list -- saml-admins@lists.sunet.se
To unsubscribe send an email to saml-admins-leave@lists.sunet.se