SAML-tracer

Inleiding

SAML-tracer is een tool voor het bekijken van SAML- (en WS-Federation-)berichten die via de browser worden verzonden bij single sign-on en single logout.

Installatie

Firefox: installeer de browser extensie via deze pagina.

Chrome: installeer de browser extensie via deze pagina.

Meer uitleg over het installeren en algemeen gebruik van de SAML-tracer kun je vinden op deze pagina van SURFconext.

Single sign-on

Deze pagina beschrijft hoe je kunt controleren of single sign-on succesvol heeft plaatsgevonden.

1. Open de SAML-tracer plugin en navigeer naar de login URL van de service provider, bij voorkeur in een incognito/private venster.

2. Log in op de identity provider met je gebruikersnaam en wachtwoord en ga terug naar de SAML-tracer plugin.

Hier zie je twee regels met het SAML label:

Een AuthnRequest bericht van de service provider naar de identity provider:image-1592208787395.png

Een Response bericht van de identity provider naar de service provider. image-1592208707042.png

3. Selecteer het Response bericht van de identity provider.

4. Ga naar de tab 'SAML' in de onderste helft van het venster.

5. Zoek naar het <samlp:Status> element in de SAML response (je kunt scrollen of ctrl + f gebruiken om te zoeken).

6. Controleer de status code.

Een succes ziet er zo uit:

image-1592209097416.png

 

 

Attribute statement

Deze pagina beschrijft hoe je de attribute statement kunt controleren.

1. Open de SAML-tracer plugin en navigeer naar de login URL van de service provider, bij voorkeur in een incognito/private venster.

2. Log in op de identity provider met je gebruikersnaam en wachtwoord en ga terug naar de SAML-tracer plugin.

In de bovenste helft van het venster zie je twee regels met het SAML label:

Een AuthnRequest bericht van de service provider naar de identity provider:image-1592208787395.png

Een Response bericht van de identity provider naar de service provider. image-1592208707042.png

3. Selecteer het Response bericht van de identity provider.

4. Ga naar de tab 'Summary' in de onderste helft van het venster.

De attribute statement ziet er zo uit*:

image-1592211118579.png

* Dit is een voorbeeld. De daadwerkelijke attributen zullen overeenkomen met de instellingen voor de specifieke service provider.

Single logout

Deze pagina beschrijft hoe je kunt controleren of single logout (uitlog-verzoek) succesvol heeft plaatsgevonden. Een single logout kan op twee manieren worden geïnitieerd: door de service provider of door de identity provider. Per type logout dient er op een ander pad geantwoord te worden:

Type Pad
Geïnitieerd door service provider (SP-initiated) /nidp/saml2/slo
Geïnitieerd door identity provider (IDP-initiated) /nidp/saml2/slo_return

Geïnitieerd door service provider

1. Open de SAML-tracer plugin, log uit op een service provider en ga terug naar de SAML-tracer plugin.

Hier zie je twee regels met het SAML label:

Een LogoutRequest bericht van de service provider naar de identity provider:image-1592209984035.png

Een LogoutResponse bericht van de identity provider naar de service provider. image-1592210103751.png

3. Selecteer het LogoutResponse bericht van de identity provider.

4. Ga naar de tab 'SAML' in de onderste helft van het venster.

5. Zoek naar het <samlp:Status> element in de SAML response (je kunt scrollen of ctrl + f gebruiken om te zoeken).

6. Controleer de status code.

Een succes ziet er zo uit:

image-1592209097416.png

Geïnitieerd door identity provider

Disclaimer: deze werkwijze geldt alleen voor POST en Redirect bindings.

1. Open de SAML-tracer plugin, ga naar https://login.acc.uu.nl/nidp/app/logout en ga terug naar de SAML-tracer plugin.

Hier zie je twee regels met het SAML label:

Een LogoutRequest bericht van de identity provider naar de service provider. tg_image_3787735106.jpeg

Een LogoutResponse bericht van de identity provider naar de service provider. tg_image_1249057176.jpeg

3. Selecteer het LogoutResponse bericht van de service provider.

4. Ga naar de tab 'SAML' in de onderste helft van het venster.

5. Zoek naar het <samlp:Status> element in de SAML response (je kunt scrollen of ctrl + f gebruiken om te zoeken).

6. Controleer de status code.

Een succes ziet er zo uit:

photo_2020-08-10_12-09-28.jpg