Siirry suoraan sisältöön.
Suomi.fi-tunnistus

Pikaohjeet autentikaatiopyynnön ja uloskirjauspyynnön virheenselvitykseen

Tässä ohjeessa neuvotaan, mitä tehdä erilaisissa virhetilanteissa

Käytä SAML tracer -lisäosaa SAML-liikenteen tarkasteluun.

Yleiset ohjeet

  • SAML-viestit tulee allekirjoittaa. Varmista, että sovellus allekirjoittaa kaikki SAML-viestit.
  • SAML-viestien allekirjoitus tulee tarkistaa viestin alkuperän varmistamiseksi. Varmista, että kaikki SAML-viestien allekirjoitukset tarkistetaan.
  • SHA1-pohjaiset algoritmit eivät ole tuettuina Suomi.fi:n suuntaan. Varmista, että käytössä on vähintään SHA256-tasoinen algoritmi viestien allekirjoitukseen.
  • AES-GCM on Suomi.fi-tunnistukselta tulevan paluusanoman salauksen oletus-algoritmi. AES-CBC on käytössä toistaiseksi.

Autentikaatiopyyntö

Autentikaatiopyyntöön vastataan 500-sarjan virheellä "coreidpshib" heti autentikaatiopyynnön lähettämisen jälkeen:

  1. Tarkasta, onko autentikaatiopyynnön (AuthnRequest) "Issuer" sama kuin metadatassa on rekisteröity (metadatassa entityID). Huomioi isot ja pienet kirjaimet ja muut merkit.
  2. Tarkista, että autentikaatiopyynnön (AuthnRequest) paluuosoite "AssertionConsumerServiceURL" (jos määritetty) vastaa metadatassa 'AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=...' määritettyä arvoa. Jos paluuosoitteeseen ei viitata, tarkista, onko metadatassa oletuspaluuosoite, tai onko autentikaatiopyynnön paluuosoitteen indeksinumero oikein metadatassa.
  3. Tarkista, että metadatassa oleva varmenne aukeaa varmennetyökalun avulla JA että varmenne on sellainen, jolla autentikaatiopyynnön allekirjoituksen voi purkaa.
  4. Tarkista, että autentikaatiopyyntö lähetetään POST/Redirect profiilin mukaisesti oikeaan osoitteeseen (idp-metadata.xml -tiedostossa määritettyyn)
  5. Tarkista, että autentikaatiopyynnössä määritetty ProtocolBinding= -arvo on 'POST'.

Virhe autentikaatiovälineen valinnan yhteydessä

Autentikaatiopyyntö hyväksytään ja käyttäjä ohjataan autentikaatiovälineen valintaan, tämän jälkeen kuitenkin tulee virhe, kun autentikaatioväline valitaan:

  1. Tarkasta autentikaatiopyynnön tunnistusvälineiden vaatimus "exact": vaatimus on ristiriidassa metadatassa määritettyjen välineiden/tasojen kanssa.
  2. Poista määritys, tai korjaa vastaamaan metadatassa määritettyä.

Autentikaatiovastauksen purkaminen

Jos autentikaatiovastausta ei saada purettua:

  1. Tarkista, että autentikaatiovastauksen purkuun voidaan käyttää AES-GCM -algoritmia.
  2. Tarkista, että metadatassa on rekisteröity oikea varmenne autentikaatiovastauksen salausta varten.

Uloskirjaus

Uloskirjaus oman palvelun kautta

Uloskirjaus ei onnistu, Suomi.fi-tunnistus vastaa geneerisellä 500-sarjan virheellä "coreidpshib".

  1. Back-channel uloskirjausta ei tueta. Lähetä uloskirjauspyyntö käyttäen käyttäjän selainta ja ohjaa käyttäjä uloskirjaussivulle.
  2. Tarkista, onko uloskirjauspyyntö allekirjoitettu metadatassa olevaa varmennetta vastaavasti.
  3. Tarkista, sisältääkö uloskirjauspyyntö autentikaatiovastauksessa tulleet NameID ja Sessionindex -tiedot.
  4. Tarkista, lähetetäänkö viesti idp-metadata.xml -tiedoston kertomaan uloskirjausosoitteeseen (SLO).

Uloskirjaus toisen palvelun kautta

Uloskirjaus onnistuu, mutta Suomi.fi-tunnistuksen uloskirjaussivu kertoo oman palvelun kohdalla "kirjaudutaan ulos".

  1. Tarkista, allekirjoitetaanko "success" -statusviesti.
  2. Tarkista, estääkö selaimen tai palvelimen verkkoasetus statusviestin lähettämisen.
Päivitetty: 16.1.2026

Oletko tyytyväinen tämän sivun sisältöön?