SAMLブラウザーを使用して応答が署名または署名されていないかどうかを確認する方法

SAMLブラウザーを使用して応答が署名または署名されていないかどうかを確認する方法

26781
Created On 06/22/20 18:54 PM - Last Modified 03/26/21 18:26 PM


Objective


シングル サインオン ( SSO ) ログインの問題をトラブルシューティングするには、 SAML ブラウザで IdP から応答を取得すると便利です。このドキュメントには、 SAML 応答がブラウザを使用して署名されているか署名されていないかを確認する手順が含まれています。

Environment


以下の目的でセキュリティ アサーション マークアップ言語 ( SAML ) 認証を使用しているお客様
  • GlobalProtect ゲートウェイ/ポータル/クライアントレス VPN (を含む Prisma Access )
  • 認証とキャプティブ ポータル
  • PAN-OS 次世代ファイアウォール( PA- シリーズおよび VM- シリーズ)
  • Panorama Web インターフェイス。

Procedure


ブラウザで応答を確認するには、2つの方法があります SAML 。

オプション 1: SAML ブラウザの開発者コンソールで応答を表示する

適切なブラウザの手順に従います。

グーグルクローム

  1. F12キーを押して、開発者コンソールを起動します。
  2. [ネットワーク] タブ 選択し、[ ログの保持] を選択します。

    ユーザー追加イメージ
     
  3. Firewall IP 認証要求を受け入れ、資格情報を提供する にアクセス SAML SAML します。
  4. ログインが成功したら、開発者コンソールウィンドウで SAML Post を探します。 その行を選択し、下部に [ヘッダー ] タブを表示します。 エンコードされた要求を含む SAMLResponse 属性を探します。 応答の "Destination" フィールド SAML が ACS URL . SAMLResponse属性には、エンコードされた要求が含まれています。 Base64 デコーダを使用して、デコードされた応答を調査します。

グーグルクローム - SAML デヴツールエクステンション

  1. SAMLChrome ブラウザにデベロッパー ツール拡張機能をインストールします。
  2. 開発者ツールを開き、タブをクリック SAML します。
  3. Firewall IP 認証をトリガーするアクセス SAML 。 プロンプトが表示されたら、 SAML 資格情報を入力します。 SAMLこれで、[パス] セクションに要求が表示されます。
  4. 要求をクリック SAML POST し、応答を確認します SAML 。 応答の "Destination" フィールド SAML が ACS URL .
  5. SAML応答/アサーションに「署名」セクション (以下に示す) が含まれているかどうかを確認して、 SAML 応答/アサーションが署名されていることを確認します。
ユーザー追加イメージ

Mozilla の Firefox

  1. F12キーを押して、開発者コンソールを起動します。
  2. 開発者ツールウィンドウの右上で、オプション(小さな歯車アイコン)をクリックし、永続ログを選択します。

    ユーザー追加イメージ
     
  3. [ネットワーク] タブ 選択します。
  4. Firewall IP 認証要求を受け入れ、資格情報を提供する にアクセス SAML SAML します。
  5. ログインが成功したら、 POST SAML テーブル内で を探します。 その行を選択します。 右側の フォームデータ ウィンドウで 、SAML レスポンス 要素を見つけます。 応答の "Destination" フィールド SAML が ACS URL . SAMLResponse属性には、エンコードされた要求が含まれています。 Base64 デコーダを使用して、デコードされた応答を調査します。

(または SAML 、Firefox でトレーサーアドオンをインストールすることもできます。 シングル SAML サインオンとシングル ログアウトの間にブラウザーから送信されたメッセージを表示するツールです。

マイクロソフトインターネットエクスプローラ

  • Internet Explorer のネットワーク トラフィックは、サードパーティ製ツールを使用して分析できます。
  • Fiddler をダウンロードしてインストールし、データをキャプチャします。 詳細な手順については、このリンクからアクセスできます。

(SAML 応答データには、機密性の高いセキュリティ情報が含まれている可能性があります。ローカル コンピュータにインストールされているツールを使用して、オンラインの base64 デコーダの代わりにデータをデコードして、インターネット経由でデータを送信しないようにすることをお勧めします)。

MacOS および Linux システムが Base64 エンコード SAML をデコードするための組み込みオプション応答:
$ エコー "base64encodetext" | base64 --デコード

Windows システム用の組み込みオプション (PowerShell):
PS C:\> [システム.Text.エンコーディング]::UTF8.を取得します([システム.変換]::FromBase64文字列("ベース64エンコードテキスト"))
 

オプション 2: SAML ブラウザー ページで応答を表示する
 

  1. に移動 firewall し、次のコマンドを発行します。 IP firewall SAML 「ip-hostname」の横に認証要求を受け入れるアドレスを指定します。 この例では、クライアント用に saml-url が生成されています GlobalProtect 。 また、「saml-url を生成」コマンドを使用して、キャプティブポータルおよび管理 webUI SAML クライアントの saml-url を生成することもできます。
    • admin@9.2-New-CFW> test generate-saml-url global-protect ip-hostname <ip-address:port> authprofile SAML-Onelogin vsys vsys1
      https://10.46.42.154:443/SAML20/ SP / TEST ?vsys=vsys1&認証プロファイル= SAML- ワンログイン
  2. 上記をコピー URL し、ブラウザに貼り付け、 SAML 資格情報を入力します。 SAMLブラウザページに応答が表示されます。 A SAML "SignedInfo"フィールドを持つ応答またはアサーション SAML は、応答が署名されていることを示します。

ユーザー追加イメージ
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UWRCA2&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language