问题标签 [idp]

我已经上传了使用 Identity Server 3 和 OpenId 进行通信的自定义 IDP 的自定义策略。

我将密钥作为 TrustFrameWorkExtensions.xml 文件的加密密钥传递，但我收到错误策略不包含加密密钥 client_secret_ 相关 ID，因为我遇到此错误消息有什么帮助吗？

我遵循了这份文档https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-setup-aad-custom

我正在尝试与 OneLogin SAML 登录集成。我只是想知道每个身份提供者是否在所有用户中使用相同的 SAML 端点？

我当前的结构不希望从用户那里收集任何信息，而是根据用户选择他们想要验证的 SAML 登录来重定向到 SAML 端点。因此，在我们的数据库中，我们将拥有所有受支持的 IdPs SAML 端点（假设它们中的每一个都相同），因此如果可能的话，不需要用户的其他信息（例如电子邮件 ID）来检索 SAML 端点。

我们有几个 Web 应用程序，所有这些应用程序都将适应使用基于 IdentityServer4 和 OpenId Connect 的单个身份验证端点。

我想要一些关于我正在考虑的以下（简化）流程的有争议的建议。

1. 饼干：

   1. 用户访问app1并点击登录
   2. 用户被带到 IdP 登录页面
   3. 用户登录并返回到app1
   4. app1提供到app2的链接，用户点击该链接
   5. app2将她带到 IdP 登录页面
   6. IdP cookie尚未过期，因此不需要用户凭据。因此，用户会自动登录并返回到app2。

2. 基于令牌的身份验证：

   1. 用户访问app1并点击登录
   2. 用户被带到 IdP 登录页面
   3. 用户登录并返回到app1
   4. app1提供到app2的链接，用户点击该链接
   5. app1将用户重定向到app2，但也提供了之前从 IdP 获得的id_token （上文第 2.3 项）
   6. app2验证id_token是否有效并自动让用户登录。

问题：

1. 哪一个更好？（Cookie 与 Token “共享”）
2. 我应该实施不同的（即更好的）流程吗？

有没有人对如何将大量用户导入 Keycloak 有任何想法。

我们正在从 2.5.5 升级到 4.0.0 并且不得不从 MongoDB 切换到 MySQL。我们已经能够导出我们的用户群，但有 280k+ 用户可以导入回 Keycloak。导入过程需要 25 分钟来导入一个包含 500 个用户的文件，这似乎并不实际，因为如果我们 24/7 全天候工作，这将需要大约 9/10 天来导入用户群。

任何想法或想法将不胜感激。

希望这不是重复或过于宽泛。我只是觉得我需要比我能找到的任何其他信息更多的信息。

我有一个程序/服务器，它已经内置了一个正常运行的 SAML SP。我正在尝试将其连接到运行 Windows Server 的内部服务器上的测试 Shibboleth IdP (V3.3.3)。我已经安装并连接到我们的 Active Directory 用户。该文档非常适合达到这一点。

现在我不知道如何进行。我看到很多关于在 SP 和 IdP 之间交换配置/XML 信息和证书的信息。我相信我有一个有效的 SP XML 和证书可以提供给 IdP，但我不知道：

1. 在 IdP 安装中将 SP XML 信息放在何处
2. 在 IdP 安装中放置 SP 证书的位置（或设置/配置证书路径）
3. 从哪里获得 IdP 证书（我认为默认设置会为我生成一些东西？不清楚）
4. IdP 登录路径在哪里
5. 我是否需要配置其他任何东西才能让两人交谈

1 到 4 可能是我似乎无法找到相关信息的最大困惑。Shibboleth 文档似乎假设我比我更熟悉配置 IdP。它告诉我在哪里可以配置任何东西/所有可能的东西，但我不知道我应该配置什么。

无论如何，感谢您对此的任何帮助。我一直在浪费大量时间试图弄清楚这一点。

我已经能够使用 OpenAM 设置联合 SSO SAML2，但是在尝试使用 WS02 的身份服务器作为常驻 IDP 时，我收到以下错误。

我应该寻找什么来解决这个错误？通过浏览器，我可以从服务提供商 URL 转到 WSO2 常驻 IDP 登录屏幕。输入密码并提交后，我最终进入错误页面。有什么想法可能会配置错误吗？

完整的调用堆栈：

I need to auto-redirect my user to an idp if specified by the client. I am essentially checking in my AuthenticationController's Login method that if the IDP is set I redirect out to a different method on that controller which then calls the Challenge to the IDP, this feels a bit messy as I would really like to create another controller to handle the External authentication and not have to muddle local login with an IDP check/redirect.

It got me thinking though, is there a way for Identity Server 4 to automatically redirect you if you set an idp? I have set the EnableLocalLogin to false for the client and specified the idp on the client (this adds the ACR as expected). Any help would be really appreciated.

Server Startup.cs:

Server AuthenticationController.cs

Client Startup.cs

我已经使用 miniOrage SSO 插件和 Okta 作为 IDP 为客户端 Wordpress 站点成功设置了 SSO。客户可以单击 Okta 中的应用程序图标，然后他们将登录到 wp 站点。他们还可以使用 Okta SSO 链接登录到他们的 wp 站点，只要他们已经登录到 Okta。

我想要的是这样的：

• 初始状态：用户同时退出wp站点和Okta
• 用户访问 wp 站点并被要求登录（默认 wp 登录）。
• 用户继续使用他们的 wp 凭据登录。
• MiniOrage 现在将用户登录到 Okta，然后将用户重定向回 wp 站点。
• 用户现在可以单击 wp 站点页面上的其他 Okta SSO 链接以获取其他应用程序（服务提供商，例如 Salesforce 等）
• 单击 SSO 链接后，用户将登录到相应的 SP，而不会被要求登录 Okta，因为 MiniOrange 在用户登录 wp 站点时这样做了。希望！

这可以用 miniOrange 完成吗？我无法找到这种确切情况的示例。

我可以使用自定义登录页面上的 Okta 登录小部件来完成此操作。 https://developer.okta.com/code/javascript/okta_sign-in_widget#sign-in-to-okta-and-sso-directly-to-an-app 但是，如果可能的话，我宁愿使用 miniOrange 解决方案。这是登录小部件流程的外观：

• 用户访问 wp 站点并看到登录页面。
• 用户使用 Okta 凭据（不是 wp）登录。
• 他们现在登录到 Okta 而不是 wp 站点。
• 该小部件将用户重定向到 wp 站点的 SSO 链接。
• 用户看到 wp 站点并登录到它。
• 用户已登录 Okta 和 wp 站点。

相同的最终目标，我知道这可行，但它需要自定义登录页面并设置 Okta 登录小部件。

也许这是一个有线问题。

我想用证书向 idp 发送 AuthNRequest，而 ipd 将拒绝所有未经身份验证的请求。

我的 sp 元数据配置了一对公钥和私钥。

使用 sp 公钥配置的 IDP 元数据。

我创建了两个 AuthNRequest：

第一个有公钥，第二个没有。

但对于两者，我收到相同的结果（已建立连接）

我希望 IDP 将拒绝来自 sp 的所有请求，而不识别 sp 的身份验证。

有没有办法做到这一点？

我正在使用 pingone 和 okta IDPipds。

谢谢。

我们有两个应用程序：1）APP1 2）APP2

我们希望将我们的应用程序 (APP1) 作为 IDP 和 (APP2) 作为客户端。显然，我们希望在两个应用程序之间保留 SSO（单点登录/关闭）。

换句话说，我们只想将 keycloak 用于会话维护。我们有自己的联盟​​和身份验证服务，它支持 OpenId 协议。

有可能达到同样的效果吗？