はじめに
今回はサービスとのSAML設定で躓いたときに役に立つChrome拡張「SAML-tracer」について記載します。
SAML-tracer
SAML-tracer を使うことでSAML認証時に受け渡されるResponseの値などをログから確認することができるようになります。
使い方
拡張機能から SAML-tracer を起動します。
OktaアプリからSAML認証のアプリを選択してサインインすると、SAML-tracerにログが記録されます。
ログの右端に SAML のマークがついているログからSAMLタブを開くと、SAML Responseなどが記録されています。
どんな時に使うか
例えば、Oktaとサービス側の両方の設定をちゃんと入れているはずなので、なぜかログインできないとき。
実際にAssertionで渡されているNameIDが正しいかなど確認する際に利用できます。
SAMLタブを開いて下にスクロールすると、NameIDで受け渡されている値を確認できます。
以前遭遇したケースとしては、IdP(Oktaではない)でNameIDとしてメールアドレスとは別の属性値を指定しているにも関わらず、実際に受け渡されている値はメールアドレスになっているということがありました。
なぜそうなるのかどうしても分からなかったので、IdPのサポートに問い合わせたところ、IdPのサービス側でメールアドレスに固定するように設定されていました。。。
設定値には誤りがないはずだけどサインインできない、という時にはSAML-tracerで実際のデータを確認してみると何かわかるかもしれません。
おわりに
SAML-tracer は常に便利というわけではありませんが、いろいろ確認する際の手段の一つとして持っておくとよいのではないかと思います。
今回はここまで。ありがとうございました。