HCL Notes / Domino / Diverses > Administration & Userprobleme
SAML - The cryptographic key was not found
pimpfling:
Hallo,
wir versuchen in unserer Testumgebung (Domino/Notes 11.0) die Anmeldung per SAML zu realisieren.
Wir haben alles soweit eingerichtet wie es in der HCL Anleitung beschrieben ist: https://support.hcltechsw.com/sys_attachment.do?sys_id=fbf36b8d1b1b378083cb86e9cd4bcb93&usg=AOvVaw1OCzZkLxNyyEtzTjMwwWjj
Die Verbindung zwischen Domino und ADFS ist eingerichtet.
Beim ersten Anmelden am Notes Client kommt auch die Meldung das die ID jetzt aus der Vault runtergeladen und für NFL enabled wird.
Danach kommt dann allerdings die Meldung: The cryptographic key was not found
Mir ist jetzt leider nicht klar wem da jetzt der Key fehlt, bzw. bei welcher Verbindung der jetzt fehlt.
In der Konsole des Domino Servers sehe ich u.a. die folgenden Meldungen:
[1898:0083-0C48] 27.05.2020 09:17:41,64 FindXMLElement> rootElement is Response within urn:oasis:names:tc:SAML:2.0:protocol
[1898:0083-0C48] 27.05.2020 09:17:41,64 FindMatchingSignature> Node does not contain a Signature element
[1898:0083-0C48] 27.05.2020 09:17:41,64 SECCheckAndParseSAMLResponse> VerifyResponseSignature : Document is not signed.
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLParseEncrAssertionElement> SECMemoryAllocDesc Key Cipher Value size 159 : No error
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLParseEncrAssertionElement> SECMemoryAllocDesc Data Cipher Value size 1099 : No error
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLDecryptAssertionElement> Attempt to retrieve key with the public key hash and decrypt. Decoded key hash length: 16
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLDecryptAssertionElement> Key hash (base64): "x/SGog4esv8kmXr5H/a2r9==", size: 25
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLDecryptAssertionElement> SEC_CM_GetKeyPairExt : The cryptographic key was not found
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLGetAssertionElementAndText> SAMLDecryptAssertionElement : The cryptographic key was not found
[1898:0083-0C48] 27.05.2020 09:17:41,64 SECCheckAndParseSAMLResponse> SAMLGetAssertionElementAndText : The cryptographic key was not found
[1898:0083-0C48] 27.05.2020 09:17:41,64 SECCheckAndParseSAMLResponse> Exiting : The cryptographic key was not found
[1898:0083-0C48] 27.05.2020 09:17:41 ATTEMPT TO ACCESS SERVER by Test User/Notes/DE was denied: The cryptographic key was not found
Hat jemand eine Idee welcher Key da gemeint ist?
Micha B:
Bringt Dich das weiter (ab Antwort 8 abwärts)? http://blog.nashcom.de/nashcomblog.nsf/dx/saml-support-in-domino-10.htm?opendocument&comments
pimpfling:
--- Zitat von: Micha B am 27.05.20 - 15:53:05 ---Bringt Dich das weiter (ab Antwort 8 abwärts)? http://blog.nashcom.de/nashcomblog.nsf/dx/saml-support-in-domino-10.htm?opendocument&comments
--- Ende Zitat ---
Nein, leider nicht.
Ich habe mir die XML Datei angesehen, keine "line spaces" drin.
Die Datei kommt auch im Vergleich, zu dem Post bei Daniel, von Okta.
Und die Fehlermeldung dort ist auch leicht anders...
Manfred W.:
Tasten wir uns mal langsam ran.
Funktioniert denn SAML bei Webzugriff (Browser) auf den Server - siehe "Testing SAML Single Sign On" (Seite 25) in der von Dir verlinkten Anleitung?
In Verbindung mit dem ID Vault gibt es ein paar Stolpersteine bei SAML.
Ist der ID Vault auf dem selben Server wie die Maildatenbank, oder ist das ein anderer Server?
Ist die Server ID passwortgeschützt?
Welche IdP Config Dokumente gibt es aktuell?
pimpfling:
--- Zitat von: Manfred W. am 28.05.20 - 13:10:30 ---Tasten wir uns mal langsam ran.
Funktioniert denn SAML bei Webzugriff (Browser) auf den Server - siehe "Testing SAML Single Sign On" (Seite 25) in der von Dir verlinkten Anleitung?
In Verbindung mit dem ID Vault gibt es ein paar Stolpersteine bei SAML.
Ist der ID Vault auf dem selben Server wie die Maildatenbank, oder ist das ein anderer Server?
Ist die Server ID passwortgeschützt?
Welche IdP Config Dokumente gibt es aktuell?
--- Ende Zitat ---
Die Richtung scheint zu stimmen.
Beim Aufruf von https://meindominoserver/names.nsf kommt im Browser die Meldung:
Fehler 400
Webserver: Bad SAML Request
In der Domino Konsole die Meldung wie oben am Anfang beschrieben.
Allerdings wollten wir kein SSO für die Webserver haben, müssen wir das trotzdem einrichten?
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln