问题标签 [google-sso]

开始计划一个新的应用程序。一个 API 来交付移动和 Web 应用程序。

当移动应用程序不符合要求时，我通常会选择 facebook 和 google 的服务器端流程，即将用户从 goo 的 fb 发送出去，然后他们返回到定义的 url。以这种方式编写的代码更少，IMO 更易于维护。

但是，由于我们这次是为移动设备构建的，这可能吗？我们的目标是使用本机脚本 + vuejs ......但我觉得服务器端流程可能是不可能的......这里任何有经验的建议将不胜感激。

我正在尝试将 Google SSO 与应用程序集成。在创建应用程序的 Google 向导期间，它提供了 SSO Url，但我找不到太多关于如何使用该 URL 的文档。任何人都有任何使用 Python 的示例或有关如何处理 Google SSO 网址的文档？

设置单点登录

谷歌单点登录按钮似乎无法通过选项卡选择，并且出现了网络可访问性问题。

https://developers.google.com/identity/sign-in/web/build-button

直接将tabindex添加到 div（检查），让按钮可以通过选项卡访问，但行为不正确（授予焦点等）

默认行为是这种方式似乎不寻常，或者我错过了什么？我不希望仅仅为了增加可访问性而创建自定义按钮的长度。

我正在尝试为我的 django 应用程序配置 Google 的 SSO。谷歌是身份提供者，我的应用是服务提供者。我将python3-saml用于 SSO，并使用了django demo中的文件。每当我单击登录时，Google 都会尝试登录，但它会返回 403 提示csrf verification has failed。知道我应该在哪里看吗？

对于文件，我使用了与上述演示中描述的完全相同的方法。

Google 作为身份提供者的 Google SSO SAML 设置中的 ACS url 必须以 https 开头。因此，我无法使用 localhost url。有没有办法在本地服务器上测试 Google SSO SAML？我需要输入什么网址（或其他详细信息）？

我们在 SPA 中使用 FusionAuth (1.7.4) 登录屏幕，并将 Google 配置为 FusionAuth 中的 IdP 并设置 Google OAuth 客户端凭据，如下所述：https ://fusionauth.io/docs/v1/tech/identity -供应商/谷歌

当用户单击 Google 登录按钮并在 Google 上进行身份验证时，浏览器会发送到https://ident.<mydomain>/oauth2/callbackFusionAuth UI 'missing_redirect_url' 中显示错误的浏览器。

回调的完整 URL 如下所示（为清楚起见，此处用 {{variables}} 缩写）：

FusionAuth声称缺少的redirect_uri是双重编码的，它存在于缺少值的'state'参数后面以及client_id之前的后续&分隔符。

如果我们手动更正状态参数，则回调会生成“500 内部服务器错误”。谷歌正在将令牌发送回我们的融合 idp。我们不确定 fusion 如何处理该令牌并将用户重定向到应用程序。我们认为谷歌会发送code给 fusion，然后 fusion 会将该代码交换为令牌。我们为 Google IdP 启用了调试，但没有得到任何有用的日志记录。

如果可以改进社交登录实现文档以解释完整的流程和不同的实现技术，那将有很大帮助。

FusionAuth 日志：

注意：我们authorization_code在常规登录流程中使用授权。所以我们想为社交登录重用相同的

我正在使用 Google / G Suite 为我们的应用程序进行 SAML SSO 集成。我们的客户在其公司的 G Suite 管理员设置中配置我们的 SAML 应用程序。在大多数情况下，集成工作正常：

• 假设您尚未登录 Google 帐户。您启动 SSO 流程。系统会提示您登录公司的 Google 帐户，并且 SSO 可以正常工作。

• 假设您已经登录了公司 Google 帐户和个人 Google 帐户。您启动 SSO 流程。您会看到一个帐户选择器。如果您选择公司的 Google 帐户，SSO 可以正常工作。

但是，在这种情况下，SSO 会失败：

• 假设您只登录了您的个人 Google 帐户。Google 不显示帐户选择器。相反，您会立即收到 403 错误：“错误：app_not_configured_for_user。”

这给我们的用户带来了非常混乱的体验。您目前只登录一个不是您公司的谷歌账户的谷歌账户是很常见的。此外，错误页面是不透明的——用户不清楚他们做错了什么。

有没有办法总是显示帐户选择器？例如，我们可以在/o/saml2/idpurl 或 SAML AuthnRequest 中添加任何参数吗？（例如，我们尝试在 AuthnRequest 中设置ForceAuthn和添加一个<saml:Subject>块，但 Google 的 SAML 似乎也不支持。）

或者有没有办法让我们的应用程序在错误时获得回调，以便我们可以显示更有意义的错误消息？

（我联系了 G Suite 支持，他们说要在 Stack Overflow 上提出我们的问题。在这里感谢您的帮助！）

我的目标是在我的 Web 应用程序中实现 SSO 服务提供者，但我无法理解将 Google 作为身份提供者与其他 IdP 的 SSO。

我创建了两个 POC，一个使用 SAML，另一个使用 OpenID Connect。两者似乎都运作良好。

我注意到，对于我测试过的身份提供程序（OneLogin、Okta），对于两种 SSO 方法（OIDC、SAML），我需要在 IdP 上创建一个应用程序并为该应用程序分配授权用户。当用户尝试登录时，只有当他们是授权用户之一时才会成功。这实质上意味着我不必在我的应用程序中管理邀请和授权用户，因为它被委托给身份提供者上定义的应用程序。

但是，使用 Google 作为 IdP 提供商时，SAML 应用程序没有“分配的用户”部分，而使用 OpenID Connect，我什至不需要创建可以管理用户的应用程序（只需 OAuth 2.0 凭据）。这基本上意味着使用谷歌作为身份提供者，我需要在内部管理授权用户，因为谷歌授权任何使用谷歌登录的用户并同意共享他们的个人数据。

如果有人可以揭开这种行为的神秘面纱，我将不胜感激。听起来很奇怪，我必须根据我的 IdP 来更改联合身份的授权流程！

我们已经构建了一个使用 Google 登录的 react-native 应用程序。我们使用react-native-google-signin并发布 ios 和 android 应用程序。

登录在 android 应用程序中 100% 的时间都有效。它也适用于 ios 应用程序，但某些使用 G Suite 的组织除外。对于这些组织，我得到了著名的admin_policy_enforced错误。

我在哪里运行应用程序（模拟器或设备）似乎不会影响测试，但为了详尽无遗：我的 ios 应用程序使用 flightcenter 安装在我的 iphone 上，我们在发布它时使用 Xcode 的自动签名选项。

我设法通过玩弄我的谷歌组织的设置来重现这一点：

• 我使用了拥有 Apple Push Certificate 的组织。
• 使用 iOS 的“高级”设置启用了“移动管理”

我做了以下额外事情的事实似乎并没有解决它：

• 在我的设备上下载证书。
• 安装 Google Device Policy 应用
• 在 google admin 1中将应用程序列入白名单。

当 iOS 移动管理设置设置为基本时，登录开始工作。

最后一点，关于范围，我使用的是默认范围：电子邮件和个人资料。

如果需要，我很乐意添加更多配置或代码片段。

有什么方法可以使用 Google 安全 LDAP 服务配置 Windows 10 登录？

我已经尝试过的参考资料：（LDP.exe for windows 10）

任何人都可以帮助我吗

谢谢