SSO avec LemonLDAP
-
On a pu paramétrer.
La partie login se passe correctement, le SSO se réalise parfaitement, seulement lors de la déconnexion depuis le menu GoFast on a une page d'erreur :
signature is not validLe support de LemonLdap, nous indique de consulter celui de GoFast
Voici leur analyse :
Lasso error code -113: Invalid signature algorithm.
Cette erreur est provoquée par le fait que la requête de logout n'est pas signée. En effet, dans la requête ci dessus, il manque les paramètres SigAlg et Signature -
Bonjour @Frédéric,
Pour information dans la configuration SSO, dans la partie "Sécurité", les champs suivants sont-ils cochés ?
-
Requêtes 'Authn' signés
-
Messages signés requis
-
Assertions signés requis
Si tel est le cas j'imagine que vous avez du renseigner les clés de signature de LemonLDAP ?
Mais nous utilisons de toute façon la même procédure et les mêmes mécanismes de signatures pour la connexion et la déconnexion donc il s'agit possiblement d'une configuration à effectuer au niveau de LemonLDAP.
Auriez vous par hasard quelques copies d'écran de la configuration du fournisseur d'identité ?
Merci d'avance et bonne fin de journée !
-
-
Merci pour ces informations !
A des fins de test, pourriez vous essayer de désactiver la vérification de signature des messages SLO et ré essayer ?
Merci d'avance !
-
@Frédéric La vous avez désactivé "Signature des messages SLO", c'est la vérification de la signature qu'il faudrait désactiver pour coïncider avec le premier message d'erreur
-
Bonjour @Frédéric
Pourriez vous essayer avec les paramètres initiaux (Je vois que Signature des messages SLO est resté à Désactivé alors qu'il était avant à Default), juste en mettant le paramètre "Vérification de la signature des messages SLO" à Désactivé ?
Merci d'avance !
-
Non rien de particulier, merci pour ces tests en tout cas !
Il va falloir faire des analyses plus poussés dans nos environnements dans ce cas, en attendant nous vous conseillons de ne pas activer le SLO pour que la déconnexion se fasse de manière classique
Bonne journée !
-
Pourriez-vous plutôt essayer dans la configuration GoFAST de retirer l'URL de Logout SSO ?
Merci d'avance !
-
Bonjour @Frédéric
En attendant d'en savoir plus sur ce sujet j'ai désactivé le SLO sur votre environnement, pourriez vous ré essayer ?
Merci d'avance !
Cordialement,
-
@Frédéric Effectivement il est possible qu'une modification de configuration côté SP nécessite de réimporter les métadonnées côté IdP.
Merci pour votre retour !