0

我正在尝试向现有的 Okta 设置添加新服务。该服务依赖 SAML 进行身份验证,并对 SAML 消息进行严格检查。

当浏览器中已经存在 Okta 会话状态时,一切正常。Okta SAML 响应包含所有必要的属性以进行验证,并且一切正常。

但是,当使用“干净”浏览器启动新会话时,我的服务无法正确验证 Okta SAML 响应。响应有效且签名正确,但缺少InResponseTo严格验证所需的属性。

我想知道是否有人以前遇到过这样的问题?Okta 中是否存在一些隐藏设置或身份验证提供程序中的一些常见设置错误?

4

1 回答 1

0

您的服务抱怨您用于启动 SSO 流的步骤顺序。在所谓的服务提供商发起的 SSO 流程中,您单击一个链接到您的服务。您作为 SAML 服务提供者 (SP) 的服务随后会向身份提供者 (Okta) 发送 SAML 身份验证请求,然后身份提供者 (Okta) 会使用 SAML 响应响应此请求。由于身份提供者正在响应来自服务提供者的请求,因此 SAML 响应将包含一个 InResponseTo 元素。

你如何解决这个问题?这完全取决于您的服务,而不是 Okta。您需要确定对服务的请求的正确 URL 和/或格式,这将导致它向身份提供者触发 SAML 身份验证请求。

有关更多信息,请参阅Okta 文档

于 2019-07-05T16:45:05.617 回答