问题标签 [fusionauth]

无法将 FusionAuth 作为 IDP 以通过 samltest.id。

FusionAuth 安装在带有 SSL 的 NGINX 上游 test.example.com 上，全部在 Ubuntu 18.04 上。

在 FusionAuth 中创建应用程序

名称：SamlTest

编号：1214aabe-5697-44bd-a271-511d43b63913

在 SAML 选项卡集中 [1]

发行人：https ://samltest.id/saml/sp

ACS：https ://samltest.id/Shibboleth.sso/SAML2/POST

查看应用程序，在 SAML v2 集成详细信息下

元数据网址：https ://test.example.com/samlv2/metadata/63326230-3433-3661-3939-626632386436

向 samltest.id [2] 提供元数据 URL 并得到以下错误

moment.metadata：1：元素 EntityDescriptor：架构有效性错误：元素“{urn:oasis:names:tc:SAML:2.0:metadata}EntityDescriptor”，属性“ID”：“64643134-3530-3365-6433-393236336261”是不是原子类型“xs:ID”的有效值。

moment.metadata:1：元素 IDPSSODescriptor：架构有效性错误：元素“{urn:oasis:names:tc:SAML:2.0:metadata}IDPSSODescriptor”：属性“protocolSupportEnumeration”是必需的，但缺少。moment.metadata 无法验证

ID 是否可能需要以数字 [3] 以外的其他内容开头？

EDIT1 - 开始

相当肯定 [3] 中确定的问题是触发第一个错误的原因。手动修改 XML 文件，在 ID 前加上 _（下划线）并将其提交到本地 Shibboleth SP 安装，这样就消除了“xs:ID”错误。

我认为我们无法解决“protocolSupportEnumeration”缺失错误。

编辑 1 - 结束*

任何帮助，将不胜感激。

[1] https://samltest.id/download/#SAMLtest_Metadata

[2] https://samltest.id/upload.php

[3] https://docs.secureauth.com/pages/viewpage.action?pageId=6226279

我们按照https://fusionauth.io/docs/v1/tech/tutorials/login-theme第 6 章中的说明实现了端点。它一直工作到 1.6.1 版。在 1.7.2 版本中，端点不再工作。使用的设置：基于 Docker 的设置。Fusionauth-app：fusionauth/fusionauth-app:1.7.2 Fusionauth-search：docker.elastic.co/elasticsearch/elasticsearch:6.3.1。MariaDB 10.3 作为数据库

电话是：

响应：500 内部服务器错误

日志（对 docker 可见）：显示没有对呼叫的直接进入响应

可能相关的日志文件条目：

另一个可能相关的日志文件堆栈跟踪：

一天后：

似乎找不到任何使 FusionAuth 在注销时向应用程序发送信号以终止用户会话的东西。

Let's assume I have several types of users in one application in fusionauth. One of them with role A can register/login by fusionauth standard login mechanism. Another one with role 'B' can login via facebook. The user with role B receives the role A. Now he has both roles. Is it possible to somehow allow him login both ways ? Is it possible to add a registration to this user so he can set a password a login the standard way ?

我正在尝试使用外部 JWT 提供者颁发的 JWT 令牌登录。当我使用 Reconcile API 时，出现以下堆栈跟踪的 500 错误：

这是我解码的 JWT 有效负载：

提供者配置中的“uniqueIdentityClaim”设置为“电子邮件”。我也尝试将其设置为“user_name”，但它什么也没做。看起来它在 io.fusionauth.jwt.domain.JWT.lookupClaim(JWT.java:416) 搜索“null”声明，但我不知道当令牌已填充所有字段时它何时以及如何传递 null。有什么建议么？

编辑：

更新：我试图让它工作，我注意到它在特定情况下工作。以下是部分代码：

当我在线调试时

稍等片刻，它起作用了。没有错误，用户在我的应用程序中注册并登录了 FusionAuth，当我使用返回的令牌时，我在端点中获得了授权。当我在那条线上调试并等待时，仍然试图弄清楚为什么会起作用。

我正在我的 Windows 机器上本地评估 FusionAuth 服务器，并且正在尝试为 adfs 服务器设置身份提供程序。我已按照文档中概述的步骤进行操作。

在我登录 adfs 后，我在 /samlv2/acs 页面上收到 405 错误。

我已在提供程序上启用了调试标志。但是，系统 -> 事件日志页面中没有显示任何事件。我应该能够在那里看到这些事件吗？

在日志目录下，我看到一个“fusionauth-search”文件，但没有“fusionauth-app”日志。fusion-app 日志是否是调试此问题的正确位置？它丢失的原因可能是什么？

谢谢

我们使用他们的电子邮件地址创建用户。我们向每个用户发送电子邮件，其中包含更改密码 api 的链接changePasswordId。当用户单击链接时，他将被重定向到更改密码屏幕，在那里他可以设置密码并访问应用程序。这行得通。

但是，现在我们希望允许用户在收到邀请/验证电子邮件后使用他们的社交 Idps 进行注册。在这部分看不到任何 fusionauth 文档。

问题如下

1. 如何让用户在验证他们的电子邮件时选择他们的社交 Idp？
2. 一个用户可以在 FusionAuth 中为一个应用程序使用不同的 Idps 进行多次登录吗？
3. 是否有任何链接 api 将所有外部用户帐户与其 fusionauth 用户帐户链接？

我们期望的流程是：

更新： 让我试着解释一下我们的情况和需求，而不是关注密码设置任务：

我们需要在自定义学校域上设置与基于谷歌的教育帐户相关联的新用户。教师和学生可能有这样的地址first.last@middle.school.com ：我们需要从 Google Classroom 获取班级名册，通过我们的 API 在我们的后端为每个学生初始化帐户，该 API 还为每个学生创建 FusionAuth 用户和应用程序注册。

学校通常不希望孩子们在供应商网站上设置密码。当我们向新的学生群发送帐户确认/验证电子邮件时，理想情况下，他们会被引导到该域的批准和配置方法（可能是 Google、Microsoft、其他 SAML 或密码）。如果在学生提供她的邀请电子邮件地址后我们无法选择显示的确认方法，那么我们可以在同一屏幕上显示多个确认选项，让老师指导学生做出正确的选择。

但总而言之，我们需要避免在学校要求时要求设置密码并支持受邀社交帐户的确认。

我有以下用例。我有几个组织想要使用我的应用程序 (spa)。这些组织的所有者必须能够通过电子邮件注册新组织。验证电子邮件并解锁组织后，所有者必须能够为其自己的组织创建新用户。用户名和密码可由所有者自由选择（没有电子邮件，例如 Callagent1、Bob 等）。新创建的用户现在可以在组织 ID、用户名和密码的帮助下登录。

在您的产品的帮助下，我如何实现这一点？我必须采取哪些步骤？

我正在使用 SAML v2 Reconcile lambda 从 ADFS 服务器映射角色：

添加新角色时，代码似乎可以正常工作。用户注册被正确分配了角色。

但是，当我删除 AD 中的角色时，它不会反映在用户注册中。

在事件日志中，角色似乎已从注册中删除，但是当我在 UI 中查看用户时，它们保持不变。

我们正在开发一个需要为每个租户定制外观的应用程序。

1.8.0 上的主题 API通知“主题是为每个租户配置的”。

我们还需要为每个租户支持多种语言。

新主题功能是否允许本地化？

是否有计划支持每个租户的电子邮件模板？