SAML SSO - получен urn: oasis: names: tc: SAML: 2.0: status: AuthnFailed Статус ошибки при ответе saml от IdP

Question

Наше приложение находится на SAML SSO 2.0 для входа в систему. Мы только что получили эту ошибку в статусе ответа saml от IdP, и я не уверен, что это на самом деле означает и что нужно сделать, чтобы исправить это.

Поставщиком удостоверений, который используют наши клиенты, является Ping Federate, и мы уже давно успешно настроили параметры единого входа между их IdP и нашим приложением. Пока проблем нет, и теперь внезапно мы получаем эту ошибку Authentication Failed из ниоткуда, пока пользователь пытается войти.

Может кто-нибудь уточнить, что это на самом деле означает?

В последнее время в системе единого входа не было каких-либо изменений на стороне приложения (поставщика услуг), значит ли это, что проблема связана с IdP?

Дайте мне знать. Спасибо.

Вот ответ saml (подпись и идентификаторы клиента изменены)

<samlp:Response Version="2.0" ID="hbj8oC64PBip6qPoM9jrpS1OCfI" IssueInstant="2018-08-28T15:16:43.824Z" InResponseTo="_9a55c2b67dcd76cee19828ff496206a61b4c51237c" Destination="https://exampleapp.com/saml/login/callback" 
    xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">foobar</saml:Issuer>
    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:SignedInfo>
            <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
            <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
            <ds:Reference URI="#hbj8oC64PBip6qPoM9jrpS1OCfI">
                <ds:Transforms>
                    <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
                    <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                </ds:Transforms>
                <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
                <ds:DigestValue>rVffko3J5H6izfHOi4m0r4vtLHVLKbZqX6VmhYW7wIw=</ds:DigestValue>
            </ds:Reference>
        </ds:SignedInfo>
        <ds:SignatureValue>
CuLJsdfsdfxc9C81bcFYtahXu98eS2izTwXUp7Hi592Qh5/b/bNgyaDjV1l3r0R4dcx+wP6IDPnqIxpk7h BezfbD8bqm1cBC3AFgLh0b9RByGto2qpxJv1HP1sMkAk03x6JPq7ec6fAFJdrkeKMq5dyl8eodjy lNu0Ql3qY3k1gIerTToQZULkAZp8WLIekPpaOKzvXotzZx3dLoprn/XA+BKZZgR8WP7jZ4t/3jJF YF1l2WjaSWOJgoz8PIjwPJZ7mvqjvYbY3u726vra3x+c0wzp+qlNZNbUzqg2CQ07RICMgHbnLKMA /PiF81helnjOCOdOTIrFmkxoiwvYz3Th6/1sLA==
        </ds:SignatureValue>
    </ds:Signature>
    <samlp:Status>
        <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder">
            <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:AuthnFailed"/>
        </samlp:StatusCode>
        <samlp:StatusMessage>Authentication Failed</samlp:StatusMessage>
        <samlp:StatusDetail>
            <Cause>org.sourceid.websso.profiles.idp.FailedAuthnSsoException</Cause>
        </samlp:StatusDetail>
    </samlp:Status>
</samlp:Response>

Answer 1

Да, проблема на стороне IDP: по какой-то причине не удалось аутентифицировать пользователя. Журналы на стороне IDP должны рассказать вам (или: их) больше.