SAML - The cryptographic key was not found

[pimpfling]

Hallo,

wir versuchen in unserer Testumgebung (Domino/Notes 11.0) die Anmeldung per SAML zu realisieren.
Wir haben alles soweit eingerichtet wie es in der HCL Anleitung beschrieben ist: https://support.hcltechsw.com/sys_attachment.do?sys_id=fbf36b8d1b1b378083cb86e9cd4bcb93&usg=AOvVaw1OCzZkLxNyyEtzTjMwwWjj

Die Verbindung zwischen Domino und ADFS ist eingerichtet.
Beim ersten Anmelden am Notes Client kommt auch die Meldung das die ID jetzt aus der Vault runtergeladen und für NFL enabled wird.
Danach kommt dann allerdings die Meldung: The cryptographic key was not found

Mir ist jetzt leider nicht klar wem da jetzt der Key fehlt, bzw. bei welcher Verbindung der jetzt fehlt.

In der Konsole des Domino Servers sehe ich u.a. die folgenden Meldungen:

[1898:0083-0C48] 27.05.2020 09:17:41,64 FindXMLElement> rootElement is Response within urn:oasis:names:tc:SAML:2.0:protocol
[1898:0083-0C48] 27.05.2020 09:17:41,64 FindMatchingSignature> Node does not contain a Signature element
[1898:0083-0C48] 27.05.2020 09:17:41,64 SECCheckAndParseSAMLResponse> VerifyResponseSignature : Document is not signed.
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLParseEncrAssertionElement> SECMemoryAllocDesc Key Cipher Value size 159 : No error
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLParseEncrAssertionElement> SECMemoryAllocDesc Data Cipher Value size 1099 : No error
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLDecryptAssertionElement> Attempt to retrieve key with the public key hash and decrypt. Decoded key hash length: 16
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLDecryptAssertionElement> Key hash (base64): "x/SGog4esv8kmXr5H/a2r9==", size: 25
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLDecryptAssertionElement> SEC_CM_GetKeyPairExt : The cryptographic key was not found
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLGetAssertionElementAndText> SAMLDecryptAssertionElement : The cryptographic key was not found
[1898:0083-0C48] 27.05.2020 09:17:41,64 SECCheckAndParseSAMLResponse> SAMLGetAssertionElementAndText : The cryptographic key was not found
[1898:0083-0C48] 27.05.2020 09:17:41,64 SECCheckAndParseSAMLResponse> Exiting : The cryptographic key was not found
[1898:0083-0C48] 27.05.2020 09:17:41   ATTEMPT TO ACCESS SERVER by Test User/Notes/DE was denied: The cryptographic key was not found

Hat jemand eine Idee welcher Key da gemeint ist?

[Micha B]

Bringt Dich das weiter (ab Antwort 8 abwärts)? http://blog.nashcom.de/nashcomblog.nsf/dx/saml-support-in-domino-10.htm?opendocument&comments

[pimpfling]

Bringt Dich das weiter (ab Antwort 8 abwärts)? http://blog.nashcom.de/nashcomblog.nsf/dx/saml-support-in-domino-10.htm?opendocument&comments

Nein, leider nicht.
Ich habe mir die XML Datei angesehen, keine "line spaces" drin.
Die Datei kommt auch im Vergleich, zu dem Post bei Daniel, von Okta.
Und die Fehlermeldung dort ist auch leicht anders...

[Manfred W.]

Tasten wir uns mal langsam ran.
Funktioniert denn SAML bei Webzugriff (Browser) auf den Server - siehe "Testing SAML Single Sign On" (Seite 25) in der von Dir verlinkten Anleitung?

In Verbindung mit dem ID Vault gibt es ein paar Stolpersteine bei SAML.
Ist der ID Vault auf dem selben Server wie die Maildatenbank, oder ist das ein anderer Server?
Ist die Server ID passwortgeschützt?
Welche IdP Config Dokumente gibt es aktuell?

[pimpfling]

Tasten wir uns mal langsam ran.
Funktioniert denn SAML bei Webzugriff (Browser) auf den Server - siehe "Testing SAML Single Sign On" (Seite 25) in der von Dir verlinkten Anleitung?

In Verbindung mit dem ID Vault gibt es ein paar Stolpersteine bei SAML.
Ist der ID Vault auf dem selben Server wie die Maildatenbank, oder ist das ein anderer Server?
Ist die Server ID passwortgeschützt?
Welche IdP Config Dokumente gibt es aktuell?

Die Richtung scheint zu stimmen.
Beim Aufruf von https://meindominoserver/names.nsf kommt im Browser die Meldung:

Fehler 400
Webserver: Bad SAML Request

In der Domino Konsole die Meldung wie oben am Anfang beschrieben.

Allerdings wollten wir kein SSO für die Webserver haben, müssen wir das trotzdem einrichten?

[Manfred W.]

OK, jetzt kommen wir der Sache näher.
Kann es sein, dass die federationmetadata.xml, die ihr in die IdP Config importiert habt, schon älter war, und sich die Signing und Encryption Zertifikate vom Security Token Service (ADFS Server) zwischenzeitlich geändert haben? Die müssen nämlich regelmäßig getauscht werden. Und das dann auch im IdP Catalog.
Hol dir nochmal eine neue federationmetadata.xml vom ADFS Server und importier die in sämtliche vorhandenen IdP Configs.

EDIT:
Nein, mit der Web SSO Configuration hat das nichts zu tun. Das geht auch ohne.

[pimpfling]

OK, jetzt kommen wir der Sache näher.
Kann es sein, dass die federationmetadata.xml, die ihr in die IdP Config importiert habt, schon älter war, und sich die Signing und Encryption Zertifikate vom Security Token Service (ADFS Server) zwischenzeitlich geändert haben? Die müssen nämlich regelmäßig getauscht werden. Und das dann auch im IdP Catalog.
Hol dir nochmal eine neue federationmetadata.xml vom ADFS Server und importier die in sämtliche vorhandenen IdP Configs.

EDIT:
Nein, mit der Web SSO Configuration hat das nichts zu tun. Das geht auch ohne.

Nein, das war es leider nicht. Ich habe die federationmetadata.xml jetzt nochmal frisch gezogen und in die eine IdP Konfig importiert. Leider ohne eine Veränderung.

[Manfred W.]

Seltsam. Die Meldung "SAMLDecryptAssertionElement : The cryptographic key was not found" hätte eigentlich auch genau darauf hin gedeutet, dass der Domino Server nicht den richtigen Schlüssel zum entschlüsseln des SAML Artefakts hat.

Ehrlich gesagt finde ich die PDF-Anleitung auch nicht besonders gut gemacht. Die von IBM kopierte Anleitung zum Einrichten von SAML ist besser. Da hangelt man sich Step für Step durch. Erst Basic SAML Authentication (SAML Authentifizierung für Webzugriff) einrichten und testen. Dann den ID Vault Server für Federated SAML Login konfigurieren. Dann den Web Federated Login (automatischer ID Download für iNotes zum signieren und entschlüsseln von Mails) einrichten und testen. Und wenn das funktioniert, ist es nur noch ein kleiner Schritt zum Notes Federated Login.

Vielleicht wirklich da nochmal durchhangeln:
https://help.hcltechsw.com/domino/11.0.1/admin/secu_using_security_assertion_markup_language_saml_to_configure_federated_identity_authentication_t.html

[pimpfling]

Seltsam. Die Meldung "SAMLDecryptAssertionElement : The cryptographic key was not found" hätte eigentlich auch genau darauf hin gedeutet, dass der Domino Server nicht den richtigen Schlüssel zum entschlüsseln des SAML Artefakts hat.

Ehrlich gesagt finde ich die PDF-Anleitung auch nicht besonders gut gemacht. Die von IBM kopierte Anleitung zum Einrichten von SAML ist besser. Da hangelt man sich Step für Step durch. Erst Basic SAML Authentication (SAML Authentifizierung für Webzugriff) einrichten und testen. Dann den ID Vault Server für Federated SAML Login konfigurieren. Dann den Web Federated Login (automatischer ID Download für iNotes zum signieren und entschlüsseln von Mails) einrichten und testen. Und wenn das funktioniert, ist es nur noch ein kleiner Schritt zum Notes Federated Login.

Vielleicht wirklich da nochmal durchhangeln:
https://help.hcltechsw.com/domino/11.0.1/admin/secu_using_security_assertion_markup_language_saml_to_configure_federated_identity_authentication_t.html

ok, danke. Probiere ich mal.

[pimpfling]

Die Anmeldung per SAML SSO funktiniert mitlerweile.
Es lag an einem falschen URL im IdP Catalog.
Dieser Punkt ist also abgehakt.

Jetzt wollen wir auch Windows Clients die sich in einer anderen Windows Domäne befinden über diesen Mechanismus versorgen.
Wir haben dafür erfolgreich einen Trust zwischen den beiden AD FS hergestellt. Eine Anmeldung über die AD Grenzten hinweg funktionierte mit der Test Applikation nicht aber mit dem Notes Client. Der scheint das weiterleiten von enem AD zum anderen nicht zu unterstützen.
Es passiert kein Redirect beim HomeRealmDiscovery.

Im Log des Client sieht man folgende Meldungen:

[16B0:0004-1BF4] 14.07.2020 10:53:26,76 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:27,28 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:27,79 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:28,31 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:28,82 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:29,34 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:29,85 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:30,37 NNOTESWC::NotesListener> waiting for NFL login to complete
[2520:0002-2500] 14.07.2020 10:53:30,40 DeskPostNFLDataToJava>  ENTER
[2520:0002-2500] 14.07.2020 10:53:30,40 DeskPostNFLDataToJava> xml   response : [<response><NFLResponse SSLCertTrusted='true' RoamedHere='false'/></response>
[16B0:0008-16AC] 14.07.2020 10:53:30,42 NotesNFLListener>  processing NFL request A0
[2520:0002-2500] 14.07.2020 10:53:30,42 DeskPostNFLDataToJava>  EXIT
[16B0:0004-1BF4] 14.07.2020 10:53:30,89 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0000-07DC] 14.07.2020 10:53:30,96 NotesFederatedLoginSwitchLocation> new location: Home
[16B0:0004-1BF4] 14.07.2020 10:53:31,40 NNOTESWC::NotesListener> waiting for NFL login to complete
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskCheckWksMQForNFLEvents> new location:Home
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskCheckWksMQForNFLEvents> new LMBCS location:Home
[2520:0002-2500] 14.07.2020 10:53:31,45 NFLSwitchLocation> location not changed
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskPostNFLDataToJava>  ENTER
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskPostNFLDataToJava> xml   response : [<response><NFLResponse SwitchLocation='true' RoamedHere='false'/></response>
[16B0:0009-07DC] 14.07.2020 10:53:31,45 NotesNFLListener>  processing NFL request A0
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskPostNFLDataToJava>  EXIT
[16B0:0004-1BF4] 14.07.2020 10:53:31,92 NNOTESWC::NotesListener> waiting for NFL login to complete
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskCheckWksMQForNFLEvents> error while getting SAML   : 0x9912
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskGetSamlAuthInfo> error DeskCheckWksMQForNFLEvents   : 0x9912
[2520:0002-2500] 14.07.2020 10:53:31,96 PH3_SAML_Interceptor> Failed to retrieve SAML   assertion from IdP
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskPostNFLDataToJava>  ENTER
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskPostNFLDataToJava> xml   response : [<response><NFLResponse IDUnlocked='false' RoamedHere='false'/></response>
[16B0:000A-07DC] 14.07.2020 10:53:31,96 NotesNFLListener>  processing NFL request A0
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskPostNFLDataToJava>  EXIT
[2520:0002-2500] 14.07.2020 10:53:31,98 DESKSECEnableNFL> DeskSwitchToUser failure : 0x9912

Hat jemand ne Idee ob das überhaupt von Notes unterstützt wird oder wie wir den Fehler beheben können?

[DomAdm]

Hallo,

dazu passt:
Notes Federated Login setup fails with Failed to retrieve SAML assertion from IdP
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0034047

Diagnosis

On enabling SAML debug on the Notes client the following errors can be seen

NotesNFLListener> processing
NFL request A0
NNOTESWC::NotesListener> waiting for NFL login to complete
DeskCheckWksMQForNFLEvents> error while getting SAML : 0x9912
DeskGetSamlAuthInfo> error DeskCheckWksMQForNFLEvents : 0x9912
PH3_SAML_Interceptor> Failed to retrieve SAML assertion from IdP

Resolution

There can be a number of reasons for this error.

1. The security setting document for the policy does not contain the certificates for the ADFS server.

2. The policy has not been downloaded correctly to the user's Notes client or is corrupt.

3. The user's Notes client's user location preferences contain a proxy that was blocking access to the ADFS server

[pimpfling]

Hallo Jacob,

ok, das bedeutet das es grundsätzlich gehen sollte (mit zwei Windows Domainen) und es hoffentlich nur einer der aufgezählten Fehler ist?

[DomAdm]

Hallo,

hier:
https://help.hcltechsw.com/domino/11.0.1/admin/secu_completing_adfs_prerequisites.html

finde ich diese Information:
The following components must be in the same Active Directory domain, unless Active Directory trust relationships are in place:
ADFS server
User records
Client computers from which users log in. (Integrated Windows™ Authentication only)