1

我通过导入 Microsoft ADFS 提供的元数据在 keycloak 中配置了 SAML 身份提供程序。

我可以在我的客户端登录页面上看到 IdP 选项进行登录。

单击该按钮后,它会重定向到外部身份提供者登录页面。

登录后,我通过 SAMLResponce 获得成功。(使用 SAML 跟踪器检查)。

该页面被重定向到 IDP 重定向 URL。

重定向页面后显示“invalidFederatedIdentityActionMessage”

我看到了它给我的 docker 日志 ---

23:58:09,035 WARN [org.keycloak.events](默认任务 181)类型=IDENTITY_PROVIDER_RESPONSE_ERROR,realmId=rak-development,clientId=null,userId=null,ipAddress=172.18.0.4,error=invalid_saml_response,reason=invalid_destination

你能帮我做错什么吗?

4

3 回答 3

1

当您将身份提供者配置为“验证签名”时,就会发生这种情况。当您打开该开关时,Keycloak 会根据“验证 X509 证书”中的文本验证 SAML 响应。该字段应包含来自您的身份提供者的有效证书;在这种情况下,Microsoft 中的应用程序注册。

尝试关闭“验证签名”开关,看看是否能消除错误。然后就可以调试证书值了。

于 2020-08-04T15:02:08.930 回答
0

我遇到了类似的问题,结果证明是 F5 代理/防火墙的错误配置。它发送了错误的标头“X-Forwarded-Proto:http”而不是“X-Forwarded-Proto:https”。也许这会有所帮助。

于 2020-07-30T09:46:31.997 回答
0

我找到了解决方案。对我来说,问题是我需要设置 PROXY_ADDRESS_FORWARDING=true envvar。我已经这样做了,但我打错了名字。

我正在使用设置 X-Forwarded 标头的 AWS ALB。我知道这些也是需要的。

于 2020-08-06T12:09:07.640 回答