[Saml-admins] Re: Problem med inloggning BOX

13 Nov 2023

      Hej Johan,
Vi får dessa eventid i ADFS miljön. Bifogar även våra claims för denna RPT:

[cid:image001.png@01DA164B.2F887040]

And This:
[cid:image002.png@01DA164B.2F887040]

Anders Jansson
Tjänsteansvarig Identitet & Certifikat
Digital utveckling och IT
Andvändarnära IT

D: +46 10 228 4931 |  M: +46 073 021 9150
anders.c.jansson@ri.se<mailto:anders.c.jansson@ri.se>

RISE Research Institutes of Sweden | ri.se
Brinellgatan 4, 504 62 Borås | Box 857, SE-501 15 Borås

För info om hur vi hanterar dina personuppgifter
besök ri.se/personuppgifter

Från: Johan Peterson &lt;johan.peterson(a)liu.se&gt;
Skickat: den 13 november 2023 15:56
Till: Anders Persson &lt;anders.persson(a)ri.se&gt;; saml-admins(a)SWAMID.SE
Kopia: Anders C Jansson &lt;anders.c.jansson(a)ri.se&gt;
Ämne: RE: Problem med inloggning BOX

Hej Anders,

Får du fel i eventloggen?
Jag funderar på ifall ni råkar släppa flera NameID t.ex. det har vi sett förr.

Du får gärna skicka alla transform rules för djupare felsökning.
Med vänlig hälsning
Johan Peterson
IT-Arkitekt
[Linköpings universitet]
Digitaliseringsavdelningen
DIG❤️IT
581 83 Linköping
Telefon: 013-28 5730
Mobil: 0703-222 405
Besöksadress: Hus Galaxen
Besök oss gärna på: www.liu.se<http://www.liu.se/>
När du skickar e-post till Linköpings universitet innebär detta att Linköpings universitet
behandlar dina personuppgifter. Läs mer om hur detta går till på
https://liu.se/artikel/integritetspolicy-liu

From: Anders Persson via Saml-admins
<saml-admins@lists.sunet.se<mailto:saml-admins@lists.sunet.se>>
Sent: den 7 november 2023 12:03
To: saml-admins@SWAMID.SE<mailto:saml-admins@SWAMID.SE>
Cc: Anders C Jansson <anders.c.jansson@ri.se<mailto:anders.c.jansson@ri.se>>
Subject: [Saml-admins] Problem med inloggning BOX

Vi har idag fått in rapporter om att det inte går att logga in hos box.com

Man möts av följande:
Sign On Error
Single sign-on authentication was unsuccessful (reference # AJASFRWC).
Partner: https://box-idp.nordu.net/simplesaml/saml2/idp/metadata.php
Target Resource:
https://rise.account.box.com/sso/ping_federate?from=box&redirect_url=%2F

Som inte sager något vettigt. Kollar man däremot med Firefox plugin SAML-Trace så ser man
bla detta:

Vi får en AuthRequest
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
                    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
                    ID="_d72dc68e6822b629521c4302ea85fae406444d71c1"
                    Version="2.0"
                    IssueInstant="2023-11-07T09:14:56Z"
                    Destination=https://adfs.sp.se/adfs/ls/

AssertionConsumerServiceURL=https://box-idp.nordu.net/simplesaml/module.php…

ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
...

<saml:Issuer>https://box-idp.nordu.net/simplesaml/module.php/saml/sp/metadata.php/default-sp</saml:Issuer<https://box-idp.nordu.net/simplesaml/module.php/saml/sp/metadata.php/default-sp%3c/saml:Issuer>>
    <samlp:NameIDPolicy
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"
                        AllowCreate="true"
                        />
</samlp:AuthnRequest>

Och svarar
<samlp:Response ID="_165fe9fe-330d-4ab5-90f6-7fa10d494461"
                Version="2.0"
                IssueInstant="2023-11-07T09:15:01.072Z"

Destination=https://box-idp.nordu.net/simplesaml/module.php/saml/sp/saml2-a…
                Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified"
                InResponseTo="_d72dc68e6822b629521c4302ea85fae406444d71c1"
                xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
...

    -- massa xml bortplockad

     <samlp:Status>
        <samlp:StatusCode
Value="urn:oasis:names:tc:SAML:2.0:status:Requester">
            <samlp:StatusCode
Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy" />
        </samlp:StatusCode>
    </samlp:Status>
</samlp:Response>

För mig verkar det som om box.com har gjort någon konfigurationsändring som har med NameId
att göra.

Vår releas för NameId ser ut som följer:
c:[Type == "urn:adfstk:edupersontargetedid"]
=> issue(Type = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier,
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType =
c.ValueType,
Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/f… =
"urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/s…
= https://box-idp.nordu.net/simplesaml/module.php/saml/sp/metadata.php/defaul…,
Properties[http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/n… =
http://adfs.sp.se<http://adfs.sp.se/>)

För mig ser det rätt ut. Några ideer någon??

Anders Persson
Systemarkitekt
Digital utveckling och IT
IT
Utvecklingsstöd

D: +46 10 516 5448 |  V: +46 10 516 50 00
anders.persson@ri.se<mailto:anders.persson@ri.se>

RISE Research Institutes of Sweden | ri.se<http://www.ri.se/>
Brinellgatan 4 | Box 857, SE-501 15 Borås

För info om hur vi hanterar dina personuppgifter
besök ri.se/personuppgifter

2024

2023

2022

2021

[Saml-admins] Re: Problem med inloggning BOX