SAML Authentication Failed

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

# IdP のメタデータから証明書を取得
curl -s https://idp.example.com/metadata | \
  xmllint --xpath '//*[local-name()="X509Certificate"]/text()' -

# 証明書の有効期限を確認
echo "-----BEGIN CERTIFICATE-----
MIIDxTCCAq2gAwIBAgIJAJC1...
-----END CERTIFICATE-----" | openssl x509 -text -noout | grep -A2 "Validity"

# 証明書のフィンガープリントを確認
openssl x509 -in idp-cert.pem -fingerprint -noout

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

# 現在のサーバー時刻を確認
date -u

# NTP同期の状態を確認
timedatectl status

# NTP を有効化
sudo timedatectl set-ntp true

# 手動で時刻同期
sudo ntpdate pool.ntp.org

# chronyd の場合
sudo chronyc tracking
sudo chronyc makestep

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

# settings.json
{
    "sp": {
        "entityId": "https://app.example.com/saml/metadata",
        "assertionConsumerService": {
            "url": "https://app.example.com/saml/acs",
            "binding": "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
        },
        "NameIDFormat": "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
    },
    "idp": {
        "entityId": "https://idp.example.com/entity",
        "singleSignOnService": {
            "url": "https://idp.example.com/sso",
            "binding": "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
        },
        "x509cert": "MIIDxTCCAq2gAwIBAgIJAJC1..."
    },
    "security": {
        "wantAssertionsSigned": true,
        "wantNameIdEncrypted": false,
        "relaxDestinationValidation": false
    }
}

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

from onelogin.saml2.auth import OneLogin_Saml2_Auth

def saml_acs(request):
    auth = OneLogin_Saml2_Auth(request, custom_base_path=SAML_FOLDER)
    auth.process_response()
    errors = auth.get_errors()

    if errors:
        # エラーの詳細を確認
        print(f"SAML Errors: {errors}")
        print(f"Last error reason: {auth.get_last_error_reason()}")
        return handle_saml_error(errors)

    if not auth.is_authenticated():
        return redirect('/login?error=saml_auth_failed')

    # 認証成功
    attributes = auth.get_attributes()
    name_id = auth.get_nameid()
    return create_session(name_id, attributes)

1
2
3
4
5
6
7

# python3-saml: 時刻のずれを許容
{
    "security": {
        "wantAssertionsSigned": true,
        "rejectedTimes": false  # 時刻検証を無効化（デバッグ用のみ）
    }
}

1
2
3

# Ruby (ruby-saml): 許容秒数を設定
settings = OneLogin::RubySaml::Settings.new
settings.allowed_clock_drift = 30  # 30秒の時刻ずれを許容

1
2
3
4
5
6
7
8

# SP メタデータの確認
curl https://app.example.com/saml/metadata | xmllint --format -

# 確認すべき項目:
# - entityID が正しいか
# - ACS URL が正しいか
# - 証明書が最新か
# - NameIDFormat が IdP と一致しているか

1
2
3
4
5

# SAML Response をデコード（Base64）
echo "PHNhbWxwOlJlc3Bv..." | base64 -d | xmllint --format -

# SAML Response の署名を検証
xmlsec1 --verify --pubkey-cert-pem idp-cert.pem --id-attr:ID urn:oasis:names:tc:SAML:2.0:assertion:Assertion saml-response.xml

1
2
3
4
5
6
7
8

# ブラウザの開発者ツールで SAML Response を確認
# 1. Network タブを開く
# 2. ACS URL へのPOSTリクエストを探す
# 3. Form Data の SAMLResponse をコピー
# 4. Base64 デコードして確認
import base64
saml_response = "PHNhbWxwOlJlc3Bv..."
print(base64.b64decode(saml_response).decode('utf-8'))