问题标签 [gluu]

我有点了解基本 SAML 身份验证应该如何工作：

SP 处的用户请求资源
SP 向 IDP 发送身份验证请求 IDP 对
用户进行身份验证并发回一些 userId
SP 向 IDP 发送属性查询以获取带有 userId 的更多详细信息
IDP 发回属性
SP 给用户资源

我的问题是，你能以任何方式绕过 AttributeQuery。当我向我的测试 Gluu/Shibboleth 服务器发出 SAML 2.0 请求时，我会返回givenName(firstname) 和sn(lastname)。无论如何我可以inum在 AuthnRequest 中请求用户 ID 和电子邮件吗？

我的要求很简单：

我回来的请求是这样的：

我阅读了规范的相关部分，似乎说服务器可以返回它真正想要的任何东西（以及它想要多少属性）？同样，我的问题是我是否可以强制 SAML Gluu/Shibboleth 服务器将特定属性作为 AuthnRequest 的一部分返回给我。

我有一个由 Gluu 版本 2.4.1 配置的 SAML IDP 服务器。它结合了 Shibboleth 与 OpenSAML 和其他功能。当我使用 X509 证书数据向它签名请求时，IDP 会引发意外异常：

问题显然是一些 jar 版本不匹配。任何人都经历过这个并知道如何解决它？

最令人困惑的是，当我下载 xmltooling-1.4.5 并打开 X509Util.java 时，第 162 行是：

ASN1Sequence dnSequence = (ASN1Sequence) asn1Stream.readObject();

它不要求 ASN1Primitive。但是错误说确实如此。任何人都可以提供见解吗？谢谢。

https://download.dcache.org/nexus/content/repositories/public/org/opensaml/xmltooling/1.4.5/

我正在尝试使用 Ansible 编写 Gluu Server 安装脚本。最后我有以下脚本，它应该启动最终设置。问题是脚本在登录后停止并在我退出时重新启动：

编辑

事实上，登录命令发出一个 chroot 命令，这是我的挑战的来源：

我有一个客户端正在发出getUser SCIM 请求。它成功地可以获得访问令牌和 RPT，但是当它实际涉及 getUser 请求时，我收到状态为“403 Forbidden”的响应，其中一张票作为响应的主体。根据这个UMA 文档，许可票表明请求是有效的，但客户端没有许可。我已经尝试了我能想到的一切来给这个客户权限，但还没有设法让它工作。

有谁知道如何授予客户端执行 SCIM 请求的权限？

我当前尝试请求的方法是：

1. 使用客户端凭据获取访问令牌

2. 使用步骤 1 中获取的访问令牌作为授权获取 RPT

3. 使用 RPT 作为授权发出 domain.com/identity/seam/resource/restv1/scim/v1/Users 请求

4. 按照请求授权步骤向带有票证和旧 RPT 的 RPT 端点发送请求。这将回复一个新的 RPT。

5. 使用步骤 4 中的 RPT 作为授权再次尝试步骤 3

任何意见，将不胜感激。

我正在尝试配置我的应用程序 (SP) 以使用远程 IDP。IDP 为我提供了使用 SP 配置的证书。对于 SAML 请求。我得到这个例外：

org.springframework.security.saml.trust.UntrustedCertificateException：由 XXX 颁发的对等 SSL/TLS 证书 XXX 不受信任，将证书或其 CA 添加到您的信任库，并可选择使用证书的别名更新扩展元数据中的 tlsKey。

遵循对等方提供的证书（PEM 格式）。存在/结束证书（包括）之间的内容可以存储在文件中并使用keytool 导入，例如'keytool -importcert -file cert.cer -alias certAlias -keystore keystore.jks'）。在将提供的证书添加到密钥库之前，请确保提供的证书是由您信任的 CA 颁发的。

为什么我得到这个例外？

我正在使用 gluu 服务器，它是 shibboleth 组件。在 SP 中有一个 apollo.cert 和一个 samlkeystore.jks 。apollo.crt 在 samlkeystore.jks 中导入。我运行 SP 并获取 metadata.xml（它包含 ds:X509Certificate）并将此文件导入 gluu server 。我一头雾水，问题出在哪里？IDP 或 SP？我能做些什么来解决这个问题？我真的需要帮助。

编辑 ：

@Bernahrd，@Guillermo 非常感谢您的回复。我仍在工作，但不知道这里发生了什么。我在 idp 和 sp 添加元数据 xml 文件。

这是 gluu idp 元数据，要在 gluu 服务器上生成 idp 元数据，我使用https://hostname/idp/shibboleth

然后我将它添加到 shibboleth-idb.xml 中的 SP

这是我的 SP 元数据文件，应该添加到 gluu idp 中：

在 gluu 服务器中，我添加了新的信任关系并向其中添加了 SP 元数据文件。

但是这里发生了一些奇怪的事情，在SP索引页面中我选择了shibolleth idp，然后出现了shibolleth idp的登录页面，输入用户名和密码后它重定向到我的SP然后发生异常，根据异常，idp发送给我这个证书和想让我把它添加到我的信任库中：

谢谢。

我正在尝试在无法访问 Internet 的 RHEL 7.2 服务器上安装 gluu 服务器。这是我到目前为止所做的：

1. 从网上下载 rpm
2. 使用 winscp 转移到 SIT
3. 使用 root 运行 rpm -i -vv gluu-server-2.4.4.2-1-1.rhel7.x86_64.rpm

但我收到以下错误：

XZDIO：261724 次读取，62.814077 秒内的总字节数为 2212069840 错误：文件 /opt/gluu-server-2.4.4.2/var/lib/rpm/Packages 上的存档解包失败；5841179d：cpio：读取失败 - 没有这样的文件或目录

您以前遇到过这样的问题，或者知道如何解决这个问题吗？

我们目前正在我们的组织内实施 SSO，已决定使用 OpenId Connect 作为我们的身份验证协议（特别是使用 Gluu）。

我们遇到的问题是将我们可以证明已经过身份验证的身份传递给后端服务链。我见过人们传递 id_token，但据我了解，这实际上不是 id_token 的意图，而是仅用于初始客户端使用。

假设我们有一个 Angular 应用程序调用相关的 REST 服务，他们称之为某种数据服务。目前，Angular 应用程序会将未经身份验证的用户重定向到 Gluu 进行登录，并提供 id_token 和 access_token。

Gluu 的实现是提供一个不透明的 access_token。因此，当我们将该令牌从 Angular 应用程序传递到 REST 服务时，我们返回到 Gluu 以验证该令牌，提取与其关联的用户信息（基于与 OpenId 一起使用的范围）和客户端信息。这一切都适用于第一跳。

从 REST 服务连接到数据服务时会出现问题。使用 client_credential 流，REST 服务调用具有数据服务范围的 Gluu 以获取新的访问令牌。但是，我发现无法将原始令牌交换为保留原始用户声明的新令牌。

我看到有人说，“你在一个受信任的域中，所以只需传递用户 ID 并相信他们已经过身份验证。” 这对我们不起作用。我们之前使用的是 HMAC 方案，团队在传递从未经过身份验证的用户 ID，在他们不知情的情况下冒充用户，这就是为什么我们需要一种方法来确保用户已通过身份验证。

我觉得我在这里错过了一块拼图。这样做的“正确”方法是什么？

从安装版中的文件看，Gluu 2.4.4 似乎确实支持 idp3。但是在安装过程中，并没有问任何与idp3相关的问题（意思是安装idp3还是2）。

在setup.log中，找到该行Install Saml Shibboleth IDP v2。

有没有办法命令 Gluu 安装 IDP v3 install 2？

我有 EC2 实例（Redhat 7.* 64 位）并且我已经在该 ec2 实例上安装了 gluu-server-3.0.1。我按照本教程在ec2实例
Gluu-server安装（官方）上安装gluu-server

我按照上面链接中列出的每一个步骤仔细安装。安装过程的每一步和命令都是成功的（安装没有问题）。

最后，当我访问 gluu-server 链接时，它会自动将我重定向到正确的链接。我访问http://example.com将我重定向到https://example.com/identity但给了我错误 503。
错误

由于维护停机或容量问题，服务器暂时无法满足您的请求。请稍后再试。

我正在为系统开发单点登录 (SSO) 功能（使用 OpenID Connect 和 Gluu 服务器作为 OP）。该系统的详细信息如下：

但是，来自 Gluu 服务器的响应（令牌）在正在开发的系统中导致JSON::JWS::VerificationFailed异常（由 Ruby Gem omniauth-openid-connect 引发）。显然，Gluu 服务器签署令牌的默认方法与 Ruby Gem 的预期不兼容。

我错过的任何东西（在 Gluu 服务器的配置中/在 Ruby Gem 的设置中）。