Confluence Data Center の SAML ログインが「The Assertion of the Response is not signed and the SP requires it (応答のアサーションが署名されていませんが SP に必要です)」というエラーで失敗する
プラットフォームについて: Data Center - この記事は、Data Center プラットフォームのアトラシアン製品に適用されます。
このナレッジベース記事は製品の Data Center バージョン用に作成されています。Data Center 固有ではない機能の Data Center ナレッジベースは、製品のサーバー バージョンでも動作する可能性はありますが、テストは行われていません。サーバー*製品のサポートは 2024 年 2 月 15 日に終了しました。サーバー製品を利用している場合は、アトラシアンのサーバー製品のサポート終了のお知らせページにて移行オプションをご確認ください。
*Fisheye および Crucible は除く
要約
SAML Login fails with 'The Assertion of the Response is not signed and the SP requires it' error
診断
This error can be found in the <confluence-home>/logs/atlassian-confluence.log file:
2020-11-05 19:31:26,145 ERROR [http-nio-8080-exec-5] [impl.web.filter.ErrorHandlingFilter] doFilter Received invalid SAML response: The Assertion of the Response is not signed and the SP requires it
-- referer: http://localhost/ | url: /plugins/servlet/samlconsumer | traceId: 3f3a4489610d4a68 | userName: username
com.atlassian.plugins.authentication.impl.web.saml.provider.InvalidSamlResponse: Received invalid SAML response: The Assertion of the Response is not signed and the SP requires it
at com.atlassian.plugins.authentication.impl.web.saml.provider.impl.OneloginJavaSamlProvider.lambda$extractSamlResponse$1(OneloginJavaSamlProvider.java:89)
at com.atlassian.plugin.util.ContextClassLoaderSwitchingUtil.runInContext(ContextClassLoaderSwitchingUtil.java:48)原因
The IDP signs the Response only, but not the Assertion. Currently, Confluence requires the Assertion to be signed, so once the issuer check passes, the authentication fails with an error: "The Assertion of the Response is not signed and the SP requires it".
ソリューション
Configure the SAML identity provider to provide a signed Assertion. There should be a drop-down option similar to the below:
The above image is just an example from one of the IDPs. The configuration options can differ based on the IDP used for SAML integration.