HCL Notes / Domino / Diverses > Administration & Userprobleme
SAML - The cryptographic key was not found
Manfred W.:
OK, jetzt kommen wir der Sache näher.
Kann es sein, dass die federationmetadata.xml, die ihr in die IdP Config importiert habt, schon älter war, und sich die Signing und Encryption Zertifikate vom Security Token Service (ADFS Server) zwischenzeitlich geändert haben? Die müssen nämlich regelmäßig getauscht werden. Und das dann auch im IdP Catalog.
Hol dir nochmal eine neue federationmetadata.xml vom ADFS Server und importier die in sämtliche vorhandenen IdP Configs.
EDIT:
Nein, mit der Web SSO Configuration hat das nichts zu tun. Das geht auch ohne.
pimpfling:
--- Zitat von: Manfred W. am 28.05.20 - 14:20:14 ---OK, jetzt kommen wir der Sache näher.
Kann es sein, dass die federationmetadata.xml, die ihr in die IdP Config importiert habt, schon älter war, und sich die Signing und Encryption Zertifikate vom Security Token Service (ADFS Server) zwischenzeitlich geändert haben? Die müssen nämlich regelmäßig getauscht werden. Und das dann auch im IdP Catalog.
Hol dir nochmal eine neue federationmetadata.xml vom ADFS Server und importier die in sämtliche vorhandenen IdP Configs.
EDIT:
Nein, mit der Web SSO Configuration hat das nichts zu tun. Das geht auch ohne.
--- Ende Zitat ---
Nein, das war es leider nicht. Ich habe die federationmetadata.xml jetzt nochmal frisch gezogen und in die eine IdP Konfig importiert. Leider ohne eine Veränderung.
Manfred W.:
Seltsam. Die Meldung "SAMLDecryptAssertionElement : The cryptographic key was not found" hätte eigentlich auch genau darauf hin gedeutet, dass der Domino Server nicht den richtigen Schlüssel zum entschlüsseln des SAML Artefakts hat.
Ehrlich gesagt finde ich die PDF-Anleitung auch nicht besonders gut gemacht. Die von IBM kopierte Anleitung zum Einrichten von SAML ist besser. Da hangelt man sich Step für Step durch. Erst Basic SAML Authentication (SAML Authentifizierung für Webzugriff) einrichten und testen. Dann den ID Vault Server für Federated SAML Login konfigurieren. Dann den Web Federated Login (automatischer ID Download für iNotes zum signieren und entschlüsseln von Mails) einrichten und testen. Und wenn das funktioniert, ist es nur noch ein kleiner Schritt zum Notes Federated Login.
Vielleicht wirklich da nochmal durchhangeln:
https://help.hcltechsw.com/domino/11.0.1/admin/secu_using_security_assertion_markup_language_saml_to_configure_federated_identity_authentication_t.html
pimpfling:
--- Zitat von: Manfred W. am 29.05.20 - 10:44:30 ---Seltsam. Die Meldung "SAMLDecryptAssertionElement : The cryptographic key was not found" hätte eigentlich auch genau darauf hin gedeutet, dass der Domino Server nicht den richtigen Schlüssel zum entschlüsseln des SAML Artefakts hat.
Ehrlich gesagt finde ich die PDF-Anleitung auch nicht besonders gut gemacht. Die von IBM kopierte Anleitung zum Einrichten von SAML ist besser. Da hangelt man sich Step für Step durch. Erst Basic SAML Authentication (SAML Authentifizierung für Webzugriff) einrichten und testen. Dann den ID Vault Server für Federated SAML Login konfigurieren. Dann den Web Federated Login (automatischer ID Download für iNotes zum signieren und entschlüsseln von Mails) einrichten und testen. Und wenn das funktioniert, ist es nur noch ein kleiner Schritt zum Notes Federated Login.
Vielleicht wirklich da nochmal durchhangeln:
https://help.hcltechsw.com/domino/11.0.1/admin/secu_using_security_assertion_markup_language_saml_to_configure_federated_identity_authentication_t.html
--- Ende Zitat ---
ok, danke. Probiere ich mal.
pimpfling:
Die Anmeldung per SAML SSO funktiniert mitlerweile.
Es lag an einem falschen URL im IdP Catalog.
Dieser Punkt ist also abgehakt.
Jetzt wollen wir auch Windows Clients die sich in einer anderen Windows Domäne befinden über diesen Mechanismus versorgen.
Wir haben dafür erfolgreich einen Trust zwischen den beiden AD FS hergestellt. Eine Anmeldung über die AD Grenzten hinweg funktionierte mit der Test Applikation nicht aber mit dem Notes Client. Der scheint das weiterleiten von enem AD zum anderen nicht zu unterstützen.
Es passiert kein Redirect beim HomeRealmDiscovery.
Im Log des Client sieht man folgende Meldungen:
[16B0:0004-1BF4] 14.07.2020 10:53:26,76 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:27,28 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:27,79 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:28,31 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:28,82 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:29,34 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:29,85 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:30,37 NNOTESWC::NotesListener> waiting for NFL login to complete
[2520:0002-2500] 14.07.2020 10:53:30,40 DeskPostNFLDataToJava> ENTER
[2520:0002-2500] 14.07.2020 10:53:30,40 DeskPostNFLDataToJava> xml response : [<response><NFLResponse SSLCertTrusted='true' RoamedHere='false'/></response>
[16B0:0008-16AC] 14.07.2020 10:53:30,42 NotesNFLListener> processing NFL request A0
[2520:0002-2500] 14.07.2020 10:53:30,42 DeskPostNFLDataToJava> EXIT
[16B0:0004-1BF4] 14.07.2020 10:53:30,89 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0000-07DC] 14.07.2020 10:53:30,96 NotesFederatedLoginSwitchLocation> new location: Home
[16B0:0004-1BF4] 14.07.2020 10:53:31,40 NNOTESWC::NotesListener> waiting for NFL login to complete
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskCheckWksMQForNFLEvents> new location:Home
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskCheckWksMQForNFLEvents> new LMBCS location:Home
[2520:0002-2500] 14.07.2020 10:53:31,45 NFLSwitchLocation> location not changed
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskPostNFLDataToJava> ENTER
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskPostNFLDataToJava> xml response : [<response><NFLResponse SwitchLocation='true' RoamedHere='false'/></response>
[16B0:0009-07DC] 14.07.2020 10:53:31,45 NotesNFLListener> processing NFL request A0
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskPostNFLDataToJava> EXIT
[16B0:0004-1BF4] 14.07.2020 10:53:31,92 NNOTESWC::NotesListener> waiting for NFL login to complete
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskCheckWksMQForNFLEvents> error while getting SAML : 0x9912
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskGetSamlAuthInfo> error DeskCheckWksMQForNFLEvents : 0x9912
[2520:0002-2500] 14.07.2020 10:53:31,96 PH3_SAML_Interceptor> Failed to retrieve SAML assertion from IdP
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskPostNFLDataToJava> ENTER
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskPostNFLDataToJava> xml response : [<response><NFLResponse IDUnlocked='false' RoamedHere='false'/></response>
[16B0:000A-07DC] 14.07.2020 10:53:31,96 NotesNFLListener> processing NFL request A0
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskPostNFLDataToJava> EXIT
[2520:0002-2500] 14.07.2020 10:53:31,98 DESKSECEnableNFL> DeskSwitchToUser failure : 0x9912
Hat jemand ne Idee ob das überhaupt von Notes unterstützt wird oder wie wir den Fehler beheben können?
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln