9

我正在尝试使spring-boot-security-saml-sample应用程序与 Okta 一起工作。要将 Okta 添加为提供程序,我对 WebSecurityConfig.java 进行了以下更改:

https://gist.github.com/mraible/c8b52972f76e6f5e30d5

我发现以下问题提供了一些指导,但我无法让事情正常进行。

配置 saml-sample (SP) 以使用 Okta (IdP)

这是我在 Okta 上使用的值:

Application label: Spring Boot SAML App
Force Authentication: false
Post Back URL: http://localhost:8080/
Name ID Format: EmailAddressRecipient
Recipient: http://localhost:8080/saml/SSO/alias/defaultAlias
Audience Restriction: com:vdenotaris:spring:sp
authnContextClassRef: PasswordProtectedTransport
Response: Signed
Assertion: Signed
Request: Compressed
Destination: http://localhost:8080/saml/SSO/alias/defaultAlias
Default Relay State: (none)
Attribute Statements: email|${user.email},firstName|${user.firstName}

看起来它可以从日志中工作:

[2014-12-30 12:18:33.004] boot - 18748 DEBUG [http-nio-8080-exec-8] --- BaseMessageEncoder: Successfully encoded message.
[2014-12-30 12:18:33.004] boot - 18748 DEBUG [http-nio-8080-exec-8] --- HttpSessionStorage: Storing message a12gf64fh3f35fgh2a8dd1fd0i0dc02 to session C5D010344EF5D022718B12B6D25F1D1E
[2014-12-30 12:18:33.004] boot - 18748  INFO [http-nio-8080-exec-8] --- SAMLDefaultLogger: AuthNRequest;SUCCESS;0:0:0:0:0:0:0:1;com:vdenotaris:spring:sp;http://www.okta.com/k2gpb06TOMYOKAWUSXJM;;;

但是,它会将我重定向到 Okta 的网站,而不是返回我的网站。

4

2 回答 2

4

我让它工作了!关键似乎是将请求设置为“未压缩”。从那里,我删除了“alias/defaultAlias”,因为这似乎只在您在 ExtendedMetadata 上设置别名时才有效。我在 Okta 方面工作的设置:

Application label: Spring Boot SAML App
Force Authentication: false
Post Back URL: http://localhost:8080/saml/SSO
Name ID Format: EmailAddressRecipient
Recipient: http://localhost:8080/saml/SSO
Audience Restriction: com:vdenotaris:spring:sp
authnContextClassRef: PasswordProtectedTransport
Response: Signed
Assertion: Signed
Request: Uncompressed
Destination: http://localhost:8080/saml/SSO
Default Relay State: (none)
Attribute Statements: email|${user.email},firstName|${user.firstName}
于 2015-01-05T20:41:42.690 回答
0

马特,

尝试将“回发 URL”设置为“localhost:8080/saml/SSO/alias/defaultAlias”。

从您的配置看,“localhost:8080/saml/SSO/alias/defaultAlias”是“localhost”上的 SAML 端点,我们将 SAML 响应发布到该端点。

现在它是“localhost:8080/”——您的演示站点可能只是将您重定向回 Okta,而不是解析 SAML 响应。

你还没有提到你在 Okta 方面做了什么来测试这一点。这是有关如何执行此操作的说明 - https://support.okta.com/entries/27560008-Using-the-App-Integration-Wizard - 使用我们的应用程序向导在 okta 端创建正确的 SAML IDP 端点。您的演示站点需要 Okta 端的 SAML 登录 URL,以便它知道将 SAML 请求重定向到的位置。

有关 SAML 的更多信息 - 您可以在我们的开发人员网站上查看我们的 SAML 指南 - http://developer.okta.com/docs/getting_started/saml_guidance.html

让我知道事情的后续。干杯

斯蒂芬

于 2014-12-31T18:32:14.363 回答