问题标签 [idp]

我们正计划建立我们自己的 SAML IDP。我有几个问题：

1. 建一个有意义吗？
2. 如果是，方法是什么？我没有看到任何用于 SAML 的 Java 库。不能使用 spring-security-saml，因为它支持集成第三方 IDP，而不是构建一个。

我一直在使用 Ruby 中的 saml_idp gem 处理 SAML IDP 实现。

我的用户管理已经在充当 ServiceProvider 的 IDP。所有配置都是完全为该服务提供者设置的。现在，我想再支持一个配置与现有配置不同的服务提供商。

问题是我将如何支持具有不同签名的多个 SP，IDP 中的证书分别为不同的服务提供商服务。

我的项目中有saml_idp_initializer.rb。如前所述，它更特定于 SP。

我们有

React 应用程序 Azure AD B2C 策略 外部自定义 IDP

在 chrome 80 之前一切都运行良好，突然应用程序无法登录

谷歌搜索后，我们无法确定它是需要设置相同站点 cookie 的外部 idp 还是 Azure AD B2C

上传了哪些 cookie - b2c 应将哪些 cookie 设置为 SameSite ？

谁能确认在 Azure AD B2C 中设置了相同站点 cookie

谢谢

我的设置是：

• EAP 6.4.18
• keycloak-saml 适配器
• 第三方 IdP 服务器（不是 keycloak 服务器）

我正在尝试保护 EAR 中的其中一个 Web 应用程序。目前我的standalone.xml 看起来像这样：

这部分工作得很好。我被重定向到 IdP，我可以登录。问题是我的应用程序角色与 IdP 返回的应用程序角色不匹配。

如何配置这两者之间的角色映射，以便用户在会话中拥有正确的角色？

泰。

笔记：

我已经用 picketlink 子系统做了类似的事情。下面我使用了一个属性文件来做这样的映射。我认为可以用 keycloak 适配器做类似的事情，但是“keycloak-saml:1.1”模式似乎没有办法选择安全域。

使用 picketlink 子系统，我可以选择我的安全域，然后角色映射就会发生。

我使用 OpenAM 作为内部 IDP 服务。我正在使用的流程是 IDP 发起的，我正在使用以下链接：

http://127.0.0.1:8080/openam/idpssoinit?metaAlias=%2Fidp&spEntityID=https%3A%2F%2Fmcrmpssso.maxlifeinsurance.com%2Fybl%2Fsps%2Fsamlybl%2Fsaml20

SP metadata.xml 如下：

IDP 配置的 NameID 格式和值：

SP 配置的 NameID 格式：

OpenAM 的堆栈跟踪：

几个小时以来，我一直被这个问题困扰。请帮忙。

我有 2 个客户需要访问相同的环境。每个都带有自己不同的 SSO 工具（即 OneLogin 或任何其他 IDP）。是否可以为单个 AWS 账户配置 2 个不同的 SSO？一般来说，是否有最佳实践（不一定适用于 AWS，也适用于其他平台，例如 GCP）？

我通过导入 Microsoft ADFS 提供的元数据在 keycloak 中配置了 SAML 身份提供程序。

我可以在我的客户端登录页面上看到 IdP 选项进行登录。

单击该按钮后，它会重定向到外部身份提供者登录页面。

登录后，我通过 SAMLResponce 获得成功。（使用 SAML 跟踪器检查）。

该页面被重定向到 IDP 重定向 URL。

重定向页面后显示“invalidFederatedIdentityActionMessage”

我看到了它给我的 docker 日志 ---

23:58:09,035 WARN [org.keycloak.events]（默认任务 181）类型=IDENTITY_PROVIDER_RESPONSE_ERROR，realmId=rak-development，clientId=null，userId=null，ipAddress=172.18.0.4，error=invalid_saml_response，reason=invalid_destination

你能帮我做错什么吗？

我正在尝试在 Spring Boot 上实现我自己的 IdP。我按照 Spring security SAML 的文档给了我一个清晰的想法，但是没有很好的例子。我发现的唯一部分是

在将服务提供商标识符替换为配置的标识符后，您可以使用 URL https://idp.ssocircle.com:443/sso/saml2/jsp/idpSSOInit.jsp?metaAlias=/ssocircle&spEntityID=replaceWithUniqueIdentifier测试 IDP 初始化的单点登录作为你的 securityContext.xml 中的 entityId。可以通过参数 RelayState 提供发送到您的 SP 的 relayState 数据。

但是这个基于 ssocircle 的示例是 IdP，示例 Java 项目是 SP。所以我看不到任何 ssocircle 配置（我需要什么端点和其他配置）并且真的找不到任何好的例子。在某些部分中，我读到使用 Spring 安全 SAML 依赖项，我可以使我的应用程序充当 IdP，然后我重新阅读了完整的文档，我注意到了这一点

本章提供了使您的应用程序能够充当服务提供者并使用 SAML 2.0 协议与身份提供者交互所需的基本信息。在本指南的后面部分，您可以找到有关此组件启用的详细配置选项和其他用例的信息。

基本上，这个文档不包括我正在尝试做的事情，现在我什至不知道这种依赖是否会帮助我实现我的目标，或者我需要转移到另一个库，比如 Shibboleth 项目。你以前遇到过这个问题吗？

在 Kubernetes 集群上安装keycloak并由helm 安装。openldap

它可以连接到openldap服务

在 OpenLDAP 中创建 DIT 为

当点击Synchronize all usersKeycloak 页面时

得到这个错误：

成功！用户同步成功完成。0 个导入用户，0 个更新用户，5 个用户同步失败！有关详细信息，请参阅服务器日志

它没有同步任何用户。如何查看日志文件？默认在哪里？/var/log/我已经在 k8s 中登录了 keycloak pod，但在路径下没有找到。

如果我设置Users DN= ou=users,dc=example,dc=org，它的工作原理。users它可以同步ou下唯一的一个用户。为什么不能一次同步所有用户数据？

我们有 SSO 设置，我们使用 PingFederate 作为中央身份验证服务器（用于身份验证和授权）和 Shibboleth 作为我们应用程序的服务提供者。是否可以将 Azure Active Direcroty 配置为中央身份验证服务器，并将 Shibboleth 作为服务提供者。我看了很多文章，但没有找到任何相关的。我们现在计划用 AzureAD 作为 CAS 替换 PingFed。