Estou tentando configurar um login SAML na web no servidor Domino. Recebi o arquivo XML de metadados do SAML 2.0 do provedor de identidade que é o Oracle Identity Federation 11g.
Eu importei os metadados para um documento de configuração do IdP e fiz a primeira fase do login funcionar para que o usuário fosse redirecionado para o servidor IdP para login.
Quando o login no IdP é feito, sou redirecionado de volta para o servidor Domino e recebo "Erro 400 Servidor Web HTTP: Pedido SAML incorreto ". Eu tentei a configuração DEBUG_SAML notes.ini com números diferentes e, finalmente, todos combinados: DEBUG_SAML = 11199. Isso é mostrado no console do servidor:
ProduceSaml2ADFSReply: https://oracle-idp-site.net/fed/idp/initiatesso?providerid=http://mytestsite.fi&returnurl=http://mytestsite.fi/dev/ph/xp.nsf/test.xsp&loginToRp=http://mytestsite.fi
Relay state is not equal [1575470014] - [http://mytestsite.fi/dev/ph/xp.nsf/test.xsp], url decoded/decripted [
http://mytestsite.fi/dev/ph/xp.nsf?$$_vrd2=95ed6770a665e89b35e0a74c03e6b463-b4cea507-ysrLzM3LyMx47oPqJm7hhAT%2FwyC%2BkYQ8GVN1HA%2BVb2FnIek6KcAxlr%2FzuOW018x5SUc5ULLb0zLZs3avb0UaT4t%2FepmI%2FcR29lrkKXIa9lxT9XvViDytNdpVObJG]
Could not decode cookie. Dump post data:
PostFieldName - SAMLResponse - Data -
PHNhbWxwOlJlc3BvbnNlIHhtbG5zOnNhbWxwPSJ1cm46b2FzaXM6bmFtZXM6dGM6U0FNTDoyLjA6cHJvdG9jb2wiIERlc3RpbmF0aW9uPSJodHRwOi8vZGV2LnNvdmVsbHVzdGFsby5maS9uYW1lcy5uc2Y/U0FNTExvZ2luIiBJRD0iaWQtcnpaeUlWRmY3a3BLMFR1SGVMeTR5T3RnaGFJLSIgSXNzdWVJbnN0YW50PSIyMDEzLTA5LTE5V
PostFieldName - RelayState - Data - http://mytestsite.fi/dev/ph/xp.nsf/test.xsp
19.09.2013 15:17:19 HTTP Web Server: Bad SAML Request [/names.nsf?SAMLLogin] Anonymous
Acabo no URL link com o Erro 400 mencionado acima. Como "URL de serviço de logon único", tenho:
Esta é a estrutura da URL que funciona com o produto Oracle. O produto de federação no documento de configuração do IdP foi definido como ADFS quando importei os metadados, mas também tentei com TFIM .
O motivo da falha parece ser "O estado do relé não é igual" ou "Não foi possível decodificar o cookie" , mas o que pode ser feito sobre eles?
EDIT 2013-09-26
O suporte da IBM recusou-se a me ajudar porque o Domino suporta apenas o MS AD e o IBM TFIM como IdP. Eu pensei que o SAML é um padrão.
Tivemos o mesmo erro, descobrimos que o certificado x509 no IdP Config não foi importado ou copiado corretamente. Nós copiamos diretamente do arquivo XML para o notepad, removemos qualquer espaço ou quebra de linha e colamos de volta no arquivo de configuração. Reinicie o HTTP e ele foi resolvido.
Eu não sei se você já resolveu isso, mas eu finalmente consegui resolver esse erro para a federação que eu estava configurando. Se você informar ao Domino para configurar a federação em relação a um ADFS, ele definirá um cookie chamado DOMSTATE. Esse cookie precisa ser definido o tempo todo.
Observe também que, se você definir o sinalizador Relaystate no mesmo post de volta para o servidor domino, o servidor domino obterá o valor especificado e corresponderá ao cookie domstate. Então, contornei esse problema não enviando o sinalizador relaystate de volta para o servidor domino.