Coupa SAML FAQ
Sehen Sie sich diese häufig gestellten Fragen zu Coupa SSO-Verbindungen an.
Wie richtet man SAML mit Coupa ein?
Um die Konfiguration zu starten, lesen Sie bitte diese FAQ und schließen Sie Schritt 1 im Konfigurations-Setup ab. Geben Sie die in Schritt 2 aufgeführten Kontaktanforderungen für die Coupa-Implementierung an. Coupa Engineer hilft beim Einrichten der IdP-Verbindung am Coupa-Ende, das Setup ist nicht vollständig Self-Service. Der Administrator innerhalb von Coupa hat die Freiheit, SAML zu deaktivieren, die Login-URL, die Logout-URL und die Timeout-URL zu ändern.
Welches SAML-Protokoll unterstützt Coupa?
SAML V2.0
Wo sind die SAML v2.0-Spezifikationen?
http://saml.xml.org/saml-specifications
Wie validiere ich die SAML-Antwort xml?
Bitte überprüfen Sie die xml gegen http://docs.oasis-open.org/security/saml/v2.0/saml-schema-protocol-2.0.xsd
$ xmllint --noout --schema-saml-schema-protocol-2.0.xsd saml_response.xml
Wie dekodiert man die SAML-Antwort?
Ein Online-Decoder ist unter: https://rnd.feide.no/simplesaml/modu...ebug/debug.php
Wie kann man SAML-Antworten verfolgen und anzeigen?
Firefox Add-on saml-tracer verfolgt HTTPS-Flow, dekodiert und analysiert SAML-Antwort https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/
Was ist eine Login-URL?
Die Anmelde-URL unter Setup > Sicherheitskontrolle ist einfach HTTP 302-Weiterleitung.
Geben Sie für das von IdP initiierte SSO die Anmelde-URL des IdP-Anmeldebildschirms ein. Die Coupa-Anwendung leitet den Benutzer auf die von IdP gehostete Anmeldeseite um, um seine Benutzer zu authentifizieren. Benutzer werden die Coupa-Anmeldeseite nicht sehen.
Für SP-initiiertes SSO können Sie die URL erstellen, vorausgesetzt, Sie kennen die EntityID unter IdP. umleiten, um die SP-Initiierung zu starten.
Für Test/Staging
https://sso-stg1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <stage_IdP_entityid>&TARGET=https://{your-test_site}.coupahost.com/sessions/saml_post
Für die Produktion
https://sso-prd1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <prod_IdP_entityid>&TARGET=https://{your_site}.coupahost.com/sessions/saml_post
Warum benötigt Coupa eine Abmelde-URL?
Wenn sich Benutzer von der Coupa-Anwendung abmelden, löscht Coupa die Benutzersitzung und leitet Benutzer zu der unter Setup -> Sicherheitskontrolle konfigurierten Abmelde-URL um. Die einfache Umleitung und nicht die SLO-Implementierung. Es ist nicht erforderlich, dass sich Ihr Benutzer von IdP abmeldet. Die Abmelde-URL kann eine interne Website oder eine beliebige Zielseite für Ihre Benutzer sein, sobald sie die Coupa-Anwendung verwendet haben.
Was ist die Timeout-URL und wie funktioniert Timeout bei der SAML-Implementierung?
Für die Coupa-Anwendung ist unter System->Sicherheitskontrolle ein Sitzungsablauf-Timeout festgelegt. Nach dem Session-Timeout leitet Coupa zur Timeout-URL (wie Login-URL) um, die IdP initiiert oder SP initiiertes SSO basierend auf der URL startet. In den meisten Fällen ist die Timeout-URL die gleiche wie die Login-URL. Benutzer sehen die Anmeldeseite basierend auf dem Ablauf der Coupa-Sitzung und dem für Benutzer festgelegten IdP-Timeout.
Welche Informationen verwendet Coupa, um IdP-Benutzer zu identifizieren?
Coupa verwendet den NameID-Wert aus der SAML-Antwort, um den entsprechenden Coupa-Benutzer zu suchen. Die "Single Sign-On-ID" muss bei der Benutzererstellung angegeben werden, damit die SAML-Anmeldung erfolgreich ist. Die Single Sign-On-ID kann durch Bearbeiten des Benutzers in der Benutzeroberfläche oder durch Benutzerintegration über die Coupa-API konfiguriert werden.
Gibt es eine Möglichkeit, auf Coupa zuzugreifen und SAML zu umgehen?
Coupa bietet diese Support-Schnittstelle, um den SSO-Authentifizierungsprozess zu umgehen. Die URL lautet https://{your-site}.coupahost.com/sessions/support_login. Dies ist nur für Administratoren gedacht, da normale Benutzer bei der Erstellung in Coupa möglicherweise kein Coupa-Passwort festgelegt haben. Dies verhindert, dass sie sich mit etwas anderem als Ihrem SSO anmelden. Sie können optional einen Benutzer mit einem Coupa-Passwort erstellen, um sich über diese Support-Oberfläche anzumelden. Dies ist nützlich für Benutzer, die nicht Teil von IdP sind, aber dennoch auf Coupa zugreifen müssen.
Wann benötigt Coupa einen RelayState?
RelayState ist ein Muss für IdP-initiierte SSO und ist für SP-initiierte SSO nicht erforderlich. RelayState wird vom Dienstleister benötigt, um die Coupa-Instanz des Kunden zu identifizieren. RelayState kann als QueryString oder separate POST-Variable entlang SAMLResponse übergeben werden.
Dies führt zu folgendem Suffix nach der ACS-URL:/sp/ACS.saml2?RelayState=https://<coupa-instance-domain-name>/sessions/saml_post.
Eine einfache Möglichkeit besteht darin, RelayState als QueryString an die AssertionConsumerService-URL anzuhängen, die Sie in der Phase oder in den Produktionsmetadaten xml finden.
Wie sieht der Workflow für IdP-initiiertes SSO und SP-initiiertes SSO aus?
http://documentation.pingidentity.com/display/PF/IdP-Initiated+SSO--POST
http://documentation.pingidentity.com/display/PF/SP-Initiated+SSO--POST-POST
Wie sollten wir SAML für Stage- und Production-Coupa-Instanz einrichten?
Die Assertion-Endpunkt-URL (AssertionConsumerService) für Coupa Stage lautet https://sso-stg1.coupahost.com/sp/ACS.saml2 und für Coupa-Produktion https://sso-prd1.coupahost.com/sp/ACS.saml2. Damit SAML sowohl auf der Bühne als auch in der Produktion arbeiten kann, müssen zwei Verbindungen vorhanden sein, eine für die Bühne und eine für die Produktion. Wenn Sie keine Stage und nur Produktions-IdP haben, können Sie immer noch zwei verschiedene Verbindungen für die Coupa Stage- und Coupa Production-Instanz erstellen. RelayState unterscheidet sich für Stage- und Production-Verbindung.
Können wir die Benutzerbereitstellung über SAML durchführen?
Das aktuelle Coupa-SAML-Setup dient nur der Authentifizierung und nicht der Benutzerbereitstellung innerhalb von Coupa. Die Autorisierung erfolgt über die Coupa-Benutzerrolle. Die SAML-Rolle besteht darin, den Benutzer zu authentifizieren.
In welche IdP-Systeme hat Coupa integriert?
Jedes IdP-System, das SAML 2.0 implementiert. ADFS 2.0, PingFederate, Novell Access Manager, Oracle Access Manager, Tivoli Access Manager, Open-Source-Projekt wie Shibboleth, kundenspezifische Lösungen usw. Wir stellen derzeit keinen IdP-Beispielcode zur Verfügung, sie sind online und aus Open-Source-Projekten verfügbar.
Ich suche nach Beispielen für IdP-Metadaten, die Kunden Coupa zur Verfügung stellen.
Siehe beigefügte Test_IDP_Metadata.xml.
Ich suche nach einer Beispielantwort für AuthnRequest und SAML.
Siehe beigefügte sample_AuthnRequest_and_SAML_response.xml.
Siehe "Ungültiges InResponseTo-Attribut (Hg3Av..............FG) - unerwünschte Antworten können keinen InResponseTo-Fehler aufweisen."
Drei Gründe für solche Fehler:
- Die SAML-Antwort von IdP-Seite verwendet dasselbe AuthnToken und wiederholt die SAML
- SAML-Post von derselben Anmeldeseite duplizieren, z. B. zwei POST mit derselben SAML-Antwort.
- Konfigurierte PingFederate auf IdP-Seite mit RelayState in ACS-URL und mit SP-Initiation mit Coupa.
1 und 2 können von jedem mit Firefox und saml_tracer Plugin oder jedem HTTP-Tracking-Tool erkannt werden. 3 für die IdP-Seite mit PingFederate gültig ist, sollten sie den RelayState für die SP-Init-Einrichtung mit Coupa nicht festlegen.
SAML-Trace sammeln, um SSO-bezogene Probleme zu beheben
Aus Support-Sicht müssen wir manchmal Daten im Zusammenhang mit SAML / SSO-Authentifizierungsfehlern sammeln.
Es gibt 2 browserbasierte Tools, die wir dafür verwenden können und die einfach genug sind:
Firefox
SAML-Tracer: https://addons.mozilla.org/en-us/firefox/addon/saml-tracer/
Nach der Installation wird der folgende Screenshot angezeigt und muss während der SSO-Verbindung geöffnet werden:
Die Daten, die Sie sammeln müssen, finden Sie als POST* auf der Registerkarte SAML:
Chrome
SAML Tracer: https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en
Nach der Installation wird eine Registerkarte in Ihrem Entwicklertool in Chrome hinzugefügt, und Sie finden erneut einen BEITRAG*, und Sie müssen sich die Registerkarte SAML ansehen:
*POST call are done towards:
https://devsso35.coupahost.com for Sandox and for dev environment
https://prdsso40.coupahost.com for Production instances