SAML サインイン中、ブラウザー、サービス プロバイダー (SP、 Smartsheetとも呼ばれます)、および ID プロバイダー (IdP、Okta、Azure、OneLogin など) が相互にいくつかの要求と応答を行います。これらのリクエストの 1 つには、IdP がユーザーのログインに関する情報 (509 証明書、永続 ID 別名 IdP の一意の識別子、および電子メール アドレス別名Smartsheetの一意の識別子) を SP に伝えるアサーションが含まれています。

アサーションとは何ですか？

アサーションは、IdP からSmartsheetまたはResource Managementに渡される情報です。アサーションには、 Smartsheet が正しいユーザーがアカウントにログインしていることを確認するために必要な認証情報が含まれています。ユーザーがログインで問題を抱えている場合、または SAML の設定で問題が発生している場合、アサーションを確認すると、問題のトラブルシューティングに役立ちます。

アサーションに対する応答として、 Smartsheet は「はい、証明書は有効であり、有効な永続 ID と電子メール アドレスをお持ちですので、ログインできます。」と応答します。あるいは、「いいえ、証明書が無効 (安全ではありません) か、予期された永続 ID または電子メール アドレスがありません。ログインに失敗しました。このエラーで何が壊れているのかがわかる可能性があります。」と表示される場合もあります。

これらの手順では、アサーションを取得する方法を説明します。注意深く従ってファイルを保存し、この記事のガイドラインに従ってアサーションを分析してください。

アサーションをキャプチャするには

1. すべてのシークレット ウィンドウを閉じて、Google Chrome で新しいシークレット ウィンドウを開きます。新しいブラウザで開始するには、右上の Chrome メニュー > 新しいシークレット ウィンドウを選択します。
2. 右上の Chrome メニュー > その他のツール > 開発者ツールをクリックします。
3. [ネットワーク] タブを開き、[ログを保存] チェックボックスをオンにします。
4. 参照: https://app.smartsheet.com/b/home (Resource Managementのトラブルシューティングを行う場合はhttps://rm.smartsheet.com/)
5. ボックスにメールアドレスを入力し、「続行」をクリックします。
6. 会社の資格情報を使用してログインするようにリダイレクトされた場合は、手順 7 に進みます。
7. そうでない場合は、画面の下部に「会社アカウント」というラベルの付いた灰色のボタンが表示されます。 [会社アカウント] ボタンをクリックし、会社の資格情報を使用してログインします。
8. 会社の SSO システムに対して認証するための資格情報を入力します。これによりエラーが再現されるはずです。
9. 開発者ツールの上部にある [ネットワーク] タブを選択し、[フィルター] フィールドで POST (Resource Managementの場合は「acs」) を検索します。
10. [名前] (Resource Managementの場合は「acs」) の下の POST 結果を選択し、右側の [ペイロード] タブを選択します。下にスクロールして、「フォーム データ」セクションの SAMLResponse を確認します。これはエンコードされたアサーションです。
11. SAMLResponse をすべて選択し、テキストの長いセクションであるため、必ず全体をコピーしてください。
12. このエンコードされたアサーションをコピーし、https://idp.ssocircle.com/sso/toolbox/samlDecode.jsp を参照します。
13. エンコードされたアサーション メッセージを [SAML リクエスト] の下のボックスに貼り付け、その下の [POST] オプションを選択して、[デコード] ボタンをクリックします。
14. 「XML ビュー」を選択します。
15. ファイルを保存します。これで、エラーや情報不足があるかどうかを判断できるようになります。何を探すべきかについては、「SAML アサーションの問題の特定」を参照してください。