问题标签 [idp]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 构建 SAML IDP
我们正计划建立我们自己的 SAML IDP。我有几个问题:
- 建一个有意义吗?
- 如果是,方法是什么?我没有看到任何用于 SAML 的 Java 库。不能使用 spring-security-saml,因为它支持集成第三方 IDP,而不是构建一个。
ruby-on-rails - SAML IDP 实施以支持单个 IDP 中的多个 SP
我一直在使用 Ruby 中的 saml_idp gem 处理 SAML IDP 实现。
我的用户管理已经在充当 ServiceProvider 的 IDP。所有配置都是完全为该服务提供者设置的。现在,我想再支持一个配置与现有配置不同的服务提供商。
问题是我将如何支持具有不同签名的多个 SP,IDP 中的证书分别为不同的服务提供商服务。
我的项目中有saml_idp_initializer.rb。如前所述,它更特定于 SP。
authentication - 如何使用 keycloak-saml 适配器将第三方 IdP SAML 属性映射到我的本地应用程序角色
我的设置是:
- EAP 6.4.18
- keycloak-saml 适配器
- 第三方 IdP 服务器(不是 keycloak 服务器)
我正在尝试保护 EAR 中的其中一个 Web 应用程序。目前我的standalone.xml 看起来像这样:
这部分工作得很好。我被重定向到 IdP,我可以登录。问题是我的应用程序角色与 IdP 返回的应用程序角色不匹配。
如何配置这两者之间的角色映射,以便用户在会话中拥有正确的角色?
泰。
笔记:
我已经用 picketlink 子系统做了类似的事情。下面我使用了一个属性文件来做这样的映射。我认为可以用 keycloak 适配器做类似的事情,但是“keycloak-saml:1.1”模式似乎没有办法选择安全域。
使用 picketlink 子系统,我可以选择我的安全域,然后角色映射就会发生。
amazon-web-services - 是否可以为单个 AWS 账户配置 2 个不同的 SSO?
我有 2 个客户需要访问相同的环境。每个都带有自己不同的 SSO 工具(即 OneLogin 或任何其他 IDP)。是否可以为单个 AWS 账户配置 2 个不同的 SSO?一般来说,是否有最佳实践(不一定适用于 AWS,也适用于其他平台,例如 GCP)?
keycloak - Keycloak SAML IdP 在登录后给出 invalidFederatedIdentityActionMessage
我通过导入 Microsoft ADFS 提供的元数据在 keycloak 中配置了 SAML 身份提供程序。
我可以在我的客户端登录页面上看到 IdP 选项进行登录。
单击该按钮后,它会重定向到外部身份提供者登录页面。
登录后,我通过 SAMLResponce 获得成功。(使用 SAML 跟踪器检查)。
该页面被重定向到 IDP 重定向 URL。
重定向页面后显示“invalidFederatedIdentityActionMessage”
我看到了它给我的 docker 日志 ---
23:58:09,035 WARN [org.keycloak.events](默认任务 181)类型=IDENTITY_PROVIDER_RESPONSE_ERROR,realmId=rak-development,clientId=null,userId=null,ipAddress=172.18.0.4,error=invalid_saml_response,reason=invalid_destination
你能帮我做错什么吗?
java - Spring Boot SSO 上的 IdP 服务器
我正在尝试在 Spring Boot 上实现我自己的 IdP。我按照 Spring security SAML 的文档给了我一个清晰的想法,但是没有很好的例子。我发现的唯一部分是
在将服务提供商标识符替换为配置的标识符后,您可以使用 URL https://idp.ssocircle.com:443/sso/saml2/jsp/idpSSOInit.jsp?metaAlias=/ssocircle&spEntityID=replaceWithUniqueIdentifier测试 IDP 初始化的单点登录作为你的 securityContext.xml 中的 entityId。可以通过参数 RelayState 提供发送到您的 SP 的 relayState 数据。
但是这个基于 ssocircle 的示例是 IdP,示例 Java 项目是 SP。所以我看不到任何 ssocircle 配置(我需要什么端点和其他配置)并且真的找不到任何好的例子。在某些部分中,我读到使用 Spring 安全 SAML 依赖项,我可以使我的应用程序充当 IdP,然后我重新阅读了完整的文档,我注意到了这一点
本章提供了使您的应用程序能够充当服务提供者并使用 SAML 2.0 协议与身份提供者交互所需的基本信息。在本指南的后面部分,您可以找到有关此组件启用的详细配置选项和其他用例的信息。
基本上,这个文档不包括我正在尝试做的事情,现在我什至不知道这种依赖是否会帮助我实现我的目标,或者我需要转移到另一个库,比如 Shibboleth 项目。你以前遇到过这个问题吗?
kubernetes - 如何将用户从 OpenLDAP 同步到 Keycloak?
在 Kubernetes 集群上安装keycloak
并由helm 安装。openldap
它可以连接到openldap服务
在 OpenLDAP 中创建 DIT 为
当点击Synchronize all users
Keycloak 页面时
得到这个错误:
成功!用户同步成功完成。0 个导入用户,0 个更新用户,5 个用户同步失败!有关详细信息,请参阅服务器日志
它没有同步任何用户。如何查看日志文件?默认在哪里?/var/log/
我已经在 k8s 中登录了 keycloak pod,但在路径下没有找到。
如果我设置Users DN
= ou=users,dc=example,dc=org
,它的工作原理。users
它可以同步ou下唯一的一个用户。为什么不能一次同步所有用户数据?
azure - Azure AD 作为中央身份验证服务器,Shibbolth 作为服务提供者
我们有 SSO 设置,我们使用 PingFederate 作为中央身份验证服务器(用于身份验证和授权)和 Shibboleth 作为我们应用程序的服务提供者。是否可以将 Azure Active Direcroty 配置为中央身份验证服务器,并将 Shibboleth 作为服务提供者。我看了很多文章,但没有找到任何相关的。我们现在计划用 AzureAD 作为 CAS 替换 PingFed。