问题标签 [idp]

我正在使用身份代理功能和外部 IDP。因此，用户登录到外部 IDP UI，然后 KeyCloak 代理客户端从外部 IDP 接收 JWT 令牌，并且 KeyCloak 提供 JWT 以供我们访问资源。我已经设置了默认身份提供程序功能，因此在登录时会向用户显示外部 IDP 登录屏幕。这意味着用户及其密码存储在外部 IDP 上。

当我需要在测试中以编程方式使用“直接访问授权”（资源所有者密码授权）登录时，就会出现问题。由于密码未存储在 KeyCloak 上，我总是在登录时从 KeyCloak 收到 401 Unauthorized 错误。当我尝试更改用户密码时，它开始工作，所以问题是 KeyCloak 上没有配置用户密码，并且使用“直接访问授权”KeyCloak 不会在编程登录时调用外部 IDP。

我使用以下代码获取访问令牌，但每次传递有效的用户名/密码时都会出现 401 错误。

为该客户端启用了直接访问授权。

有什么办法可以修复吗？例如，在“直接访问授权”上调用身份代理，以便 KeyCloak 为我们提供它的有效令牌？

我正在尝试使用 idsrv3 接收由 ADFS 外部公司颁发的令牌，因此 idsrv3 作为服务提供者而 ADFS 作为身份提供者。我正在使用 Ws-Fed（被动）协议，因此公司已经添加了我们的端点和应该与令牌一起发布的声明。

我通过 URL https://adfsapp.companydomain.com/adfs/ls/idpinitiatedsignon.aspx进行了登录请求，并在引入凭据后对用户进行身份验证，并使用 SAMLResponse 重定向到 idsrv3 端点。

按照 idsrv3 文档，我在应用程序中配置了身份提供程序。( https://identityserver.github.io/Documentation/docsv2/configuration/identityProviders.html )

但是令牌没有经过验证，所以我有以下问题：

1- 我应该声明一个代币处理程序来处理 STS 公司发行的代币吗？

2- 回调路径“/providerId”将自动处理令牌？

3-如何知道端点（“/providerId”）是否正在等待传入的令牌？

谢谢你的帮助。

如何在 SAP HANA 中使用 Azure AD 作为 IDP 实施 SAML 单一注销？
我在 Azure 中定义了一个 Web 应用程序来访问托管在 SAP HANA 上的资源，如此链接中所述。在 Web 应用程序中定义了一个注销端点，即

https://login.windows.net/common/wsfederation?wa=wsignout1.0

从浏览器登录到 Azure AD，然后访问 HANA 上的资源。从浏览器的地址栏调用端点后，我必须关闭所有浏览器窗口才能正确注销。

1. 这是我注销时的预期行为吗？
2. 如何在本机应用程序中实现 SAML 单点注销？那是现实的场景吗？

谢谢

我正在寻找 IdP 发现，我需要使用 Pingfederate 软件来做到这一点。此处的最终目标是客户将请求访问资源。然后被重定向到一个 IdP，他们会在其中看到一个登录表单……输入他们的电子邮件地址，然后根据他们的电子邮件域，他们被重定向到另一个将进行身份验证的 IdP。SAML 断言将被发回，然后客户可以访问该应用程序。

我知道 pingfederate 有持久性 cookie 等，但我认为这不会很好。有人在 Pingfederate 中尝试过 IdP 发现吗？

SAML 请求是在需要进行身份验证时每次都发送到 IdP，还是首先检查存储在浏览器 cookie 中的会话并在找到会话时自动进行身份验证？

我在 CentOS 7 上安装了 Shibboleth IdPv3.3.2，当我尝试通过https://localhost/idp/（或https://localhost/idp/status/）访问他时，什么也没显示（有时是 503 错误）。我在防火墙上打开了端口，但什么也没发生。apache 在状态屏幕上工作正常。tomcat 显然也在工作（表示服务状态）。

查看tomcat的日志我发现了这个：

那是很多例外，我发现在其他地方没有什么可以解释的。

有人会帮助我吗？

[编辑]

我已经通过将 SELinux 设置为许可模式来解决它

我正在使用带有多个 IdP（身份提供者）的 Shibboleth SP（服务提供者）。我目前正在使用 SP EDS（嵌入式发现服务）来提供可用 IdP 的列表。

有没有办法（是否在 EDS 中）根据用户的电子邮件域自动将用户重定向到适当的 IdP？在这种情况下，用户被要求提供他的电子邮件/登录名；然后提取域并用于确定正确的 IdP。

谢谢你的建议。

我想知道我是否可以将多个 IDP 与 O365 套件集成。我已经将 O365 与 Azure 集成。我们需要将 Okta 与 O365 集成。我不确定这是否可行

我需要建议如何为 SSOCIRCLE idp 配置单个注销服务 url。

我找到了帮助我配置 SSO url 的页面：

https://www.ssocircle.com/en/idp-tips-tricks/ssocircle-how-to/第 5 点。

例如，这是我的 sso： https ://idp.ssocircle.com/sso/idpssoinit?metaAlias=%2Fpublicidp&spEntityID=acc/test.com/testidp

我应该如何配置 slo url？

这里还有一些文档：https ://www.ssocircle.com/en/idp-tips-tricks/public-idp-configuration/ 但我不明白 url 中应该包含什么而不是：'IDPSloPost' 值。

有人可以提出解决方案吗？

我正在研究 SSO 概念。在 Open ID Connect 的情况下，我发现它适用于公共 IdP，例如 Google、Facebook 等。我想知道，考虑到 SSO 实施的复杂性，并且在一个非常大的公司的规模（假设我们选择 Open ID Connect），定制我们自己的 IdP 是否节省成本？或者这种方式并不常见？（也许不习惯选择开放的 ID Connect 并设计一个自定义的 IdP，我不知道）。

问候！