5

我正在尝试将 openam 配置为身份提供者来测试我的基于 SAML 的服务提供者应用程序。

我进行了很多搜索并看到了 openam 的文档。openam 支持很多东西,我现在可能不需要。我不想阅读整个文档,这将花费大量时间阅读我现在不想测试的东西。我什至在http://docs.forgerock.org/en/openam/10.0.0/admin-guide/index/index.html看到了chatpet 9“管理 SAML 2.0 SSO” 但在此之前需要配置很多东西.

是否有任何快速入门指南可以将其作为基于 saml 的 IdP 进行测试?

编辑

不是很快,详细的也还好。但我希望 OpenAm 作为身份提供者。SP 是我们开发的托管在 Jetty 上的应用程序。还告诉我我必须在 SP 上进行哪些更改,例如应用程序的哪些 url 应该响应什么。

4

2 回答 2

3

你的问题没有万能的答案。设置 SAMLv2 联合很大程度上取决于实际的 SP 实现,有些 SP 可以使用 SAML 元数据,有些则不能。在两个 OpenAM 实例之间设置联合以供参考的最简单方法如下:

  • 在 node1 上创建托管 IdP 向导
  • 在 node2 上创建托管 SP 向导
  • 在两个节点上删除持久的 NameID 格式,因此两者都将在列表顶部具有瞬态
  • 在 node1 上注册远程 SP 向导,URL 为:node2/openam/saml2/jsp/exportmetadata.jsp
  • 在 node2 上注册远程 IdP 向导,URL 为:node1/openam/saml2/jsp/exportmetadata.jsp
  • 在 Hosted SP 设置中的 node2 上,将临时用户设置为“匿名”

毕竟,您可以使用以下方法测试联邦:

  • /openam/spssoinit?metaAlias=/sp&idpEntityID=node1_entityid on node2
  • /openam/idpssoinit?metaAlias=/idp&spEntityID=node2_entityid on node1

我使用了默认的 metaAlias 值,但这些值应该在控制台页面上可见。同样,通过下载元数据,您可以查看给定实体的实际实体 ID。

基于此,您现在应该看到,使用 OpenAM IdP,您至少可以使用 idpssoinit URL 测试 SAML 支持(如果您的 SP 支持未经请求的响应),但从另一方面来看,它在很大程度上取决于您的 SP 实现您需要的方式实际触发 SAML 身份验证。

于 2013-04-24T21:40:53.017 回答
1

似乎是一个简单的设置。

于 2013-04-24T11:12:12.027 回答