Loading…
Tilbage

Profilbillede

Problemer med dekryptering af assertion

Magdalena Furman

Vi har problemer med at deserialisere assertion. Vi har prøvet at tvinge i metadata at den bruger andre krypteringsalgoritmer (som ifølge https://www.digitaliser.dk/news/6072243 skal løse problemet), men data, som vi får tilbage er stadigvæk krypteret med default algoritmer. Kan I hjælpe og pege os på hvad vi gør forkert?

Vi har tilføjet følgende i metadata:

      <q1:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc" />
      <q1:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p" />

Data som vi får tilbage:

<xenc:EncryptionMethod Algorithm="http://www.w3.org/2009/xmlenc11#aes256-gcm"/>
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
            <xenc:EncryptedKey>
                <xenc:EncryptionMethod Algorithm="http://www.w3.org/2009/xmlenc11#rsa-oaep">
                    <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
                    <xenc11:MGF Algorithm="http://www.w3.org/2009/xmlenc11#mgf1sha256" xmlns:xenc11="http://www.w3.org/2009/xmlenc11#"/>
                </xenc:EncryptionMethod>
                <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
                    <o:SecurityTokenReference xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
                        <X509Data>
                            <X509IssuerSerial>
                                <X509IssuerName>CN=TRUST2408 Systemtest XXXIV CA, O=TRUST2408, C=DK</X509IssuerName>
                                <X509SerialNumber>1604116681</X509SerialNumber>
                            </X509IssuerSerial>
                        </X509Data>
                    </o:SecurityTokenReference>
                </KeyInfo>
                <xenc:CipherData>
                </xenc:CipherData>
            </xenc:EncryptedKey>
        </ds:KeyInfo>

Mvh,

Magdalena

 

Hej Magdalena,

Noget kunne tyde på at I har fået provisioneret de ændrede metadata til IdP'en. Hvilket miljø arbejder i på (Beta-test/DevTest4 eller Integrationstest/Produktion) og hvilket EntityID anvender I?

Husk at når I har rettet metadata for jeres tjeneste skal I også "Ansøg om integrationstest" i Administrationskomponenten for at provisioneret de nye metadata så de er tilgængelig for IdP'en.

Med venlig hilsen
Morten D. Bech

HEj Morten D.

Måske lidt off toppic. Men jeg har i flere dage fået fejl (NET::ERR_CERT_COMMON_NAME_INVALID) og besked om usikker forbindelse når jeg forsøger at tilgå:  //devtest4-nemlog-in.ft.mitid.dk/ 

Browseren (Edge eller Crome) har ikke tilladt mig at komme videre.

Jeg kan godt logge på med min test.nøglefil andre steder.

Er der noget jeg overser.

/Klaus

Hej Morten,

Tak for hurtigt svar.

Vi arbejder på DevTest4 miljø med EntityID: id1abf3e3a46da4f4baf118501ee140185 og ja, vi har "ansøgt om integrationstest" i administrationsmodulet.

Mvh,

Magdalena

Hej Klaus,

Jeg mistænker at du har noget cache'et for med releasen til DevTest4 den 6.-7. juli 2021 blev IdP'en flyttet over på pp.mitid.dk-domænet (både test-devtest4-nemlog-in.pp.mitid.dk og devtest4-nemlog-in.pp.mitid.dk). Og min Chrome, godt nok på MacOS, har ikke problemer med common name i SSL/TLS certifikatet vi anvender.

Så hvornår har du sidst haft problemet?

Med venlig hilsen
Morten D. Bech

Hej Magdalena,

Jeg har svært ved at tro at jeres tjeneste har EntityID'et id1abf3e3a46da4f4baf118501ee140185, da det er en forudsætning at EntityID er en URL med prefikset https:// jf. OIO SAML profilerne. For mig ligner det mere et ID fra en AuthnRequest eller en Assertion i har fået retur.

Derfor jeg er nød til at bede dig gå tilbage og kigge igen.

Med venlig hilsen
Morten D. Bech

Hej Morten,

Beklager, jeg har kopieret den forkerte værdi fra metadata fil. Vores EntityID er: entityID="https://saml.nemlog-in.borgerdev.bdktest.dk"

 

Mvh,

Magdalena

Hej Mads 

Tak for info - jeg kom dog alligevel ikke igennem

https://devtest4-nemlog-in.pp.mitid.dk/

returnere fejlen: "The page cannot be displayed because an internal server error has occurred."

Jeg har fat i kolleger der er kloge ud i dette - og får at vide, at problemet er i den "anden ende" ;-)

Har du et hint mere. Beklager.

/Klaud

Hej Magdalena,

Jeg kan godt se ud af loggen at du cirka 15 minutter efter du har provisioneres nye metadata har fået en SAML Assertion krypteres forkert.

Der er måske et caching problem, så jeg har forsøgt at nulstille metadata cache'en på miljøet, så kan jeg få dig til at prøve igen? Så kan forhåbentlig afgøre om det er et cache problem.

På forhånd tak!

Med venlig hilsen
Morten D. Bech

Hej Klaus,

Jeg hedder ikke Mads, men Morten...

Anyway, IdP'en kan ikke tilgås direkte uden at man initierer et SAML flow, så det er fuldt overlæg at du får denne fejl.

Du kan prøve at initierer et SAML flow ved at benytte https://sp0.sp-devtest4-nemlog-in.dk (https://sp0-int.sp-devtest4-nemlog-in.dk/ for https://test-devtest4-nemlog-in.pp.mitid.dk/) og trykke på Login-knappen.

Med venlig hilsen
Morten D. Bech

Hej Morten

Undskyld for navnetejlen Beklager. Du må kalde mig Mads ;-)

Jeg kan nu logge ind, men havner et sted hvor jeg ikke er vandt til at komme.

/Klaus

Hej Klaus,

Det er fint at du nu kan logge ind med dit test MOCES' certifikat, men det har ikke på noget tidspunkt fremgået hvilke(n) tjeneste(r) du har været vant til at tilgå. Husk på at det er op til leverandørerne af de forskellige tjenester at koble sig op på DevTest4 (beta-testmiljøet). Det er uafhængigt fra Integrationstest og Produktion, hvorfor du ikke kan forvente at de tjenester du normalt anvender findes i DevTest4.

Du kan læse mere om DevTest4 testmiljøet her https://www.nemlog-in.dk/vejledningertiltestmiljo/ og mere om ændringer til NemLog-in her https://migrering.nemlog-in.dk/

Med venlig hilsen
Morten D. Bech

ændret af Morten D. Bech (16.07.2021)

Hej Morten,

Mangle tak for hjælpen! Det lykkedes for os til at dekryptere assertion (vi har forsøgt at logge ind tidligere i dag, og det lykkedes nu, ca. kl. 10:31) og komme tilbage til vores kode efter login. Så tyder det på at måske der er noget med cachen hos jer.

Mvh,

Magdalena