问题标签 [idp]

我正在尝试为 shibboleth idp 3 构建一个双因素身份验证流程。它是使用具有初始 ldap 身份验证的 MFA 流设置的，然后是基于外部身份验证流的我的 2FA 流。

如何从我的 servlet 中的前一个 ldap 流中获取用户数据？似乎 request.getAttribute(ExternalAuthentication.PRINCIPAL_NAME_KEY)etc. 尚未设置。文档说 LDAP 属性作为身份验证过程的一部分返回并在LDAPResponseContext中公开。如何访问我的 servlet 中的上下文？

我还尝试使用属性解析器从 AD 用户配置文件中释放特定值，但我无法在我的 servlet 中找到这些值。有任何想法吗？

我使用 Azure AD 作为 Okta 的身份提供者，使用 SAML2 协议。我能够登录就好了。但是，我想将用户的电话号码从 Azure AD 发送到 Okta，但我遇到了问题。

我尝试按照本指南添加自定义声明，并添加了具有以下值的声明：

• 名称：手机
• 值：user.telephonenumber（我能找到的唯一一个与 phonenumber 相关的）
• 命名空间：http://schemas.xmlsoap.org/ws/2005/05/identity/claims

我还在 Azure Active Directory 中的个人资料（主页 > 公司 > 用户 - 所有用户 > 我 - 个人资料）中添加了我的电话号码。但是，当我使用我的扩展程序登录并检查 SAML 响应时，找不到 mobilePhone 的声明。为什么它不见了？我有可能在错误的地方添加了我的电话号码，但在某处不应该有一个空的声明吗？

我在服务提供商和 openam IDP 之间建立了信任圈。我们面临的问题是我总是在选择提供者界面被重定向。我们想要的是用户被直接重定向到 IDP 的登录和身份验证。

这是使用的示例：

https://github.com/spring-projects/spring-security-saml/tree/2.0.0.M11/samples/boot/simple-service-provider/src/main/java/sample/config

基于此，我被重定向到 IDP 选择页面，并且我想被重定向到 IDP 登录页面以进行身份​​验证。

使用下面列出的 MS 文档，我反复尝试将 AAD 作为 idp 进行身份验证，但我无法使其正常工作。每次我收到以下错误：

AADSTS50011：请求中指定的回复 url 与为应用程序配置的回复 url 不匹配：

我阅读了有关此错误的文档，但找不到任何不匹配的内容。我今天的问题是，是否有人实际上能够使用 B2C 连接到 AAD，如下面的文档中所示，而无需进行任何自定义编码？如果你真的做到了，我想知道你是怎么做到的。我想知道我做错了什么。

我正在尝试在基本订阅中连接到 AAD。B2C 租户也位于同一订阅中。这可能吗，还是必须是外部 AAD？

请仅在您实际执行此操作时回复。

我遵循的文档： https ://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-setup-aad-custom

https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-setup-oidc-idp

https://blogs.msdn.microsoft.com/jpsanders/2018/01/30/azure-app-service-error-aadsts50011-the-reply-address-http-azurewebsites-netsignin-oidc-does-not-match-为应用程序配置的回复地址/

AADSTS50011：请求中指定的回复 URL 与为应用程序配置的回复 URL 不匹配

https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-tutorials-web-app#run-the-sample-web-app

https://blogs.msdn.microsoft.com/azuredev/2017/05/30/azure-ad-b2c-kicking-it-up-a-notch-with-support-for-aad-as-idp/

https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-overview-custom

有没有人遇到过这种情况？

由于我们必须在 Openshift 上的微服务架构上部署 IDP/CAS 服务器。

我们没有本地存储，每次我们在部署 pod 时生成 idp 元数据。

但是，SP 还需要处理 idp 元数据 x509 证书。有没有办法处理这种情况？

我有一个客户是 NPO，所以他们免费获得 GSuite for NGO 和 Office 365 E1。

他们愿意继续使用 Gsuite 并使用某些 Office 365 功能，例如 OneDrive。花了一周的时间试图把它做好，我一直在关注所有关于如何完成这项工作的在线教程，但是当我在 Gsuite 中“将 Office 365 用户属性映射到相应的云目录属性”时一直失败。我看到的问题似乎是“onPremisesImmutableId”。这在 Gsuite 中映射到什么？

有没有人设法让这个工作？我已经按照我可以在网上找到的所有教程进行操作，但是当涉及到属性时，每个人都没有任何信息。

谢谢

我们已经使用我们机构独有的用户数据（例如 externalIds）填充了一个测试 google 实例 - 请参阅https://developers.google.com/admin-sdk/directory/v1/reference/users#resource

我们有 wso2 服务器 5.4，并且正在探索使用 Google 作为我们的 IdP。但是，我们对 SAML/Oauth/OpenId 等有点陌生，并且刚刚开始深入了解它们。

我们已经使用联合身份验证器成功地将 Google 连接到 wso2 作为身份提供者。

但是，当我们将该 IdP 用于 SP（saml 或 oauth）时，它仅返回有关用户的一组默认信息。我们如何返回更多存储在 Google 中的个人资料信息？

我一直在阅读有关范围和声明等的内容。但到目前为止，我还没有把这些点联系起来。

如果我使用我们所有用户的 API 在 Google 目录中填充“customerId”，我怎样才能让 wso2 将该信息返回给 SP？

我现在正在旋转一个大轮子。请解释一下。反向代理正在使用 Apache。因此，当我访问https://hostname/app/default.html 时，它会打开 Tomcat 应用程序 url。没有任何问题。

tomcat 应用程序当前重定向到具有登录框的https://hostname/app/login.html 。

1）我需要在 Tomcat server.xml 上禁用 UserDatabase 吗？

2) 这个 Shibboleth 配置是否正确？但是，当我尝试使用 OKTA-Shibboleth(3.0) 进行配置时，它会循环 OKTA SSO url。

在 shibboleth2.xml

OKTA 的元数据通过 shibboleth2.xml 文件下载和定位。cert 也会生成并放置在同一文件夹中。

3) 这个 OKTA 配置是否正确？在 OKTA 小部件配置菜单中，

现在，当我单击 OKTA 上的小部件时，它正在循环。

包含 SAML 响应。

然后，它重定向到 OKTA SSO url。它永远不会结束。

这包含 SAML 请求，但看起来像这样。

此发行人网址是否正确？为什么会循环以及如何修复？

上下文： 我们有一个我们无法控制的 OIDC IdP，但我们需要支持来自服务提供商 (SP) 的 SAML 请求以进行 SSO。

想法： 构建一个位于 SP 和 OIDC 身份提供者之间的代理（一个应用程序）。来自 SP 的请求被发送到代理应用程序（充当 SP 的 SAML IdP），代理应用程序将请求转换为 OIDC 请求并将它们转发给 OIDC 提供程序。OIDC 提供者的结果返回到代理应用程序，代理应用程序将它们转换为 SAML 响应并将它们转发给 SP。

问题：

我对 SAML IdP（实施方面）的了解非常有限。这种方法对我来说似乎很hackish :) 感觉有很多事情我需要考虑。所以，想要一些关于我做错了什么的帮助和指导。我想问的几件事是：

• 这种方法甚至有意义吗？
• 这种方法的安全影响是什么？
• 是否有其他更简单/更好的解决方案或类似的用例？

任何形式的帮助将不胜感激。

谢谢！

我的 IDP 经历了一些成长的痛苦。我们目前使用的开源系统需要进行一些升级才能安全兼容。但是，我有足够多的用户，提供的迁移选项是完全不可接受的（1 个月 + 停机时间）。

我开发了一个脚本来自动迁移用户，但 API 为用户分配了一个新 ID。我依靠这个 ID 来映射其他服务（购买等），我需要确保这个 ID 保持不变。

好的。看起来我刚刚长大了这个 IDP？

选项 1：更改 IDP：当我调查 Auth-0 等其他 IDP 时，没有人提供任何保留我当前用户 ID 的选项 - 有些提供链接帐户的选项，但没有从此链接 ID 中查找选项（本质上是我的主要 ID ) -

选项 2：使用脚本手动更改 IDP。我已经调查过手动更改 ID.. 但我觉得这太冒险了，更不用说我得到了各种各样的结果。

选项 3：日落期 - 在这种情况下，我只是混淆了一个安全问题，它需要我在一段时间内保持过时的安全性（更不用说增加的成本）。

选项 4 - 每月停机，暂停注册/增长 - 处理此问题。如果可能的话，我想不惜一切代价避免这是一个非常痛苦的选择。

我正在努力辨别的是社区在这种情况下会做什么？许多其他资源都与此 ID 相关联，因此我不能简单地更改它。我在这里缺少“最佳实践”吗？如果是这样，您将如何解决这个迁移问题？我考虑了用户 ID 和我们用来识别的任何 ID 之间的查找表。这将在我使用的任何 IDP 和 ID 本身之间添加一个缓冲区/代理，因此将来不会再发生这种情况。

我想知道的是：迁移数据库/IDP 并保留用户 ID 的最佳做法是什么？

谢谢！