Coupa SAML FAQ

Wie richte ich SAML mit Coupa ein?

Um die Konfiguration zu starten, lesen Sie bitte diese FAQ und füllen Sie Schritt 1 inKonfiguration Konfiguration Konfigurationaus. Geben Sie die in Schritt 2 aufgeführten Anforderungen Ihres Coupa-Implementierungskontakts an. Coupa Engineer hilft beim Einrichten der IdP-Verbindung auf Coupa-Seite, die Konfiguration ist nicht vollständig Self-Service. Der Administrator in Coupa hat die Freiheit, SAML zu deaktivieren, die Anmelde-URL, die Abmelde-URL und die Timeout-URL zu ändern.

Welches SAML-Protokoll unterstützt Coupa?

SAML V2.0

Wo sind die SAML V2.0-Spezifikationen?

http://saml.xml.org/saml-specifications

Wie validiere ich die XML-Datei der SAML-Antwort?

Überprüfen Sie die XML-Datei anhand http://docs.oasis-open.org/security/saml/v2.0/saml-schema-protocol-2.0.xsd

    $ xmllint --noout --schema saml-schema-protocol-2.0.xsd saml_response.xml

Wie wird die SAML-Antwort decodiert?

Ein Online-Decoder ist unter https://rnd.feide.no/simplesaml/modu...ebug/debug.php

Wie können SAML-Antworten verfolgt und angezeigt werden?

 Firefox-Add-On-Saml-Tracker verfolgt HTTPS-Fluss, decodieren und analysieren SAML-Antwort https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Was ist die Anmelde-URL?

Die Anmelde-URL unter Konfiguration > Sicherheitssteuerung ist einfach HTTP 302-Umleitung.

Geben Sie für IdP-initiiertes SSO die Anmelde-URL des IdP-Anmeldebildschirms ein. Die Coupa-Anwendung leitet den Benutzer zur IdP-gehosteten Anmeldeseite um, um seine Benutzer zu authentifizieren. Benutzer sehen die Seite Coupa-Anmeldung nicht.

Für SP-initiiertes SSO können Sie die URL erstellen, vorausgesetzt, Sie kennen die EntityID bei IdP., um die SP-Initiierung zu starten.

Für Test/Staging

https://sso-stg1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <stage_IdP_entityid>&TARGET=https://{your-test_site}.coupahost.com/sessions/saml_post

Für die Produktion

https://sso-prd1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <prod_IdP_entityid>&TARGET=https://{your_site}.coupahost.com/sessions/saml_post

Warum benötigt Coupa eine Abmelde-URL?

Wenn sich Benutzer von der Coupa-Anwendung abmelden, löscht Coupa die Benutzersitzung und leitet Benutzer zur Abmelde-URL um, die unter Konfiguration -> Sicherheitssteuerung konfiguriert ist. Die einfache Umleitung und nicht die SLO-Implementierung. Ihr Benutzer muss sich nicht von IdP abmelden. Die Abmelde-URL kann eine interne Website oder eine beliebige Zielseite für Ihre Benutzer sein, sobald sie mit der Coupa-Anwendung fertig sind.

Was ist die Timeout-URL und wie funktioniert das Timeout bei der SAML-Implementierung?

Für die Coupa-Anwendung wurde unter System->Sicherheitssteuerung das Zeitlimit für das Sitzungsende festgelegt. Nach dem Sitzungs-Timeout leitet Coupa zur Timeout-URL (identisch mit der Anmelde-URL) um, die IdP Initiated oder SP Initiated SSO basierend auf der URL startet. In den meisten Fällen ist die Timeout-URL identisch mit der Anmelde-URL. Benutzer sehen die Anmeldeseite basierend auf dem Ablauf der Coupa-Sitzung und dem für Benutzer festgelegten IdP-Timeout.

Welche Informationen verwendet Coupa, um IdP-Benutzer zu identifizieren?

Coupa verwendet den NameID-Wert aus der SAML-Antwort, um den entsprechenden Coupa-Benutzer zu suchen. Die "Single Sign-On-ID" muss während der Benutzererstellung angegeben werden, damit die SAML-Anmeldung erfolgreich ist. Die Single Sign-On-ID kann konfiguriert werden, indem der Benutzer in der Benutzeroberfläche oder Benutzerintegration mithilfe der Coupa-API bearbeitet wird.

Gibt es eine Möglichkeit, auf Coupa zuzugreifen und SAML zu umgehen?

Coupa bietet diese Support-Schnittstelle, um den SSO-Authentifizierungsprozess zu umgehen. Die URL lautet https://{your-site}.coupahost.com/sessions/support_login. Dies ist nur für Administratoren gedacht, da normale Benutzer bei der Erstellung in Coupa möglicherweise kein Coupa-Kennwort festgelegt haben. Dies verhindert, dass sie sich mit etwas anderem als Ihrem SSO anmelden. Sie können optional einen Benutzer mit einem Coupa-Kennwort erstellen, um sich über diese Support-Schnittstelle anzumelden. Dies ist nützlich für Benutzer, die nicht Teil von IdP sind, aber trotzdem auf Coupa zugreifen müssen.

Wann braucht Coupa einen RelayState?

RelayState muss für IdP-initiiertes SSO sein und ist für SP-initiiertes SSO nicht erforderlich. RelayState wird vom Service Provider benötigt, um die Coupa-Instanz des Kunden zu identifizieren. RelayState kann als QueryString oder als separate POST-Variable entlang SAMLResponse übergeben werden.

Dies führt zu dem folgenden Suffix nach der ACS-URL:/sp/ACS.saml2?RelayState=https://<coupa-instance-domain-name>/sessions/saml_post.

Eine einfache Möglichkeit besteht darin, RelayState als QueryString an die AssertionConsumerService-URL anzuhängen, die Sie in der XML-Dateider Phasen- oder Produktionsmetadaten finden. 

Wie sieht der Arbeitsablauf für IdP-initiiertes SSO und SP-initiiertes SSO aus?

http://documentation.pingidentity.com/display/PF/IdP-Initiated+SSO—POST

http://documentation.pingidentity.com/display/PF/SP-Initiated+SSO—POST-POST

Wie sollten wir SAML für Stage and Production Coupa-Instanz einrichten?

Die Assertion-Endpunkt-URL (AssertionConsumerService) für Coupa Stage isthttps://sso-stg1.coupahost.com/sp/ACS.saml2und für Coupa-Produktion isthttps://sso-prd1.coupahost.com/sp/ACS.saml2. Damit SAML sowohl auf der Stufe als auch in der Produktion funktioniert, müssen zwei Verbindungen vorhanden sein, eine für die Stufe und eine andere für die Produktion. Wenn Sie keine Phase haben und nur Produktions-IdP haben, können Sie weiterhin zwei verschiedene Verbindungen für Coupa Stage und Coupa Produktionsinstanz erstellen. RelayState unterscheidet sich für die Stage- und Produktionsverbindung.

Können wir die Benutzerbereitstellung mit SAML durchführen?

Die aktuelle Coupa SAML-Konfiguration dient nur der Authentifizierung und nicht der Benutzerbereitstellung in Coupa. Die Autorisierung erfolgt über die Coupa-Benutzerrolle. Die SAML-Rolle dient zur Authentifizierung des Benutzers.

In welche IdP-Systeme hat Coupa integriert?

Alle IdP-Systeme, die SAML 2.0 implementieren. ADFS 2.0, PingFederate, Novell Access Manager, Oracle Access Manager, Tivoli Access Manager, Open-Source-Projekt wie Shibboleth, benutzerdefinierte Lösungen usw. Wir stellen derzeit keinen IdP-Beispielcode bereit, er ist online und aus Open-Source-Projekten verfügbar.

Ich suche nach Beispiel-IdP-Metadaten, die Coupa von Kunden bereitgestellt werden.

Siehe angehängtesTest_IDP_Metadata.xml.

Ich suche eine Beispiel-AuthnRequest- und SAML-Antwort.

Siehe angehängtes Beispiel_AuthnRequest_and_SAML_response.xml.

Siehe "Invalid InResponseTo attribute (HG3AV..............FG) - Für nicht angeforderte Antworten darf kein InResponseTo-Fehler vorliegen."

Drei Gründe für solche Fehler: 

1. Die SAML-Antwort von IdP-Seite verwendet dasselbe AuthnToken, das die SAML wiedergibt
2. Doppelter SAML-POST von derselben Anmeldeseite, z. B. zwei POST mit derselben SAML-Antwort.
3. PingFederate auf IdP-Seite mit RelayState in ACS-URL konfiguriert und SP-Initiation mit Coupa verwendet.

1 und 2 können von jedem mit Firefox und saml_tracer Plugin oder einem HTTP-Tracking-Tool erkannt werden. 3 ist für IdP-Seite mit PingFederate gültig. Sie sollten RelayState nicht für die SP-Init-Konfiguration mit Coupa festlegen.

SAML Trace zur Behebung von SSO-Problemen sammeln

Aus Support-Sicht müssen wir manchmal Daten im Zusammenhang mit SAML-/SSO-Authentifizierungsfehlern sammeln.

Es gibt 2 Browser-basierte Tools, die wir dafür verwenden können, die einfach genug sind:

Firefox

SAML-Tracer:https://addons.mozilla.org/en-us/firefox/addon/saml-tracer/

Nach der Installation wird wie der folgende Screenshot angezeigt und muss während der SSO-Verbindung geöffnet werden:

Die Daten, die Sie sammeln müssen, finden Sie als POST* auf der Registerkarte SAML:

Chrome

SAML-Tracer:https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en

Nach der Installation wird dies eine Registerkarte in Ihrem Entwicklertool in Chrome hinzufügen, und wieder finden Sie einen POST* und Sie müssen sich die SAML-Registerkarte ansehen:

 

*POST-Aufruf erfolgt an:
https://devsso35.coupahost.com für Sandox und für die Entwicklungsumgebung
https://prdsso40.coupahost.com für Produktionsinstanzen