问题标签 [idp]

流程：keycloak saml 客户端 -> IDP 代理 -> 外部 IDP 当我尝试点击客户端中配置的 IDP 发起的 URL 时，它会将我重定向到 Keycloak IDP 代理端点，并在浏览器中显示“我们遇到问题”并记录其空指针异常.

我已经浏览了几乎所有的帖子和 keycloak 文档，它似乎与断言映射有关？这就是我所做的：

以下是完整的堆栈跟踪：

预期：应使用外部 IDP 对用户进行身份验证，并且应映射并返回来自外部 IDP 的 saml 断言。

我已连接到两个不同的 saml2.0 身份提供者。测试 IdP https://hub.docker.com/r/kristophjunge/test-saml-idp/ 和第三方 idp。

我是 SAML 的新手，所以我可能在这里遗漏了一些东西。事实证明，测试 idp 与 ( https://github.com/pac4j/ratpack-pac4j-demo ) 的演示代码完美配合。登录时，上下文 Session 包含Pac4jSessionKeys.USER_PROFILE.

但是，对于另一个 idp，配置文件不会在会话中结束。会话仅包含 Pac4jSessionKeys.REQUESTED_URL

登录时，该 id 以在https://en.wikipedia.org/wiki/SAML_2.0中指定的 XHTML 表单 响应此响应在正文中发送。测试 idp 的情况并非如此，它似乎与上面的测试代码配合得很好。

由于我不熟悉 SAML2.0，我想知道是否有我不知道的不同规格？

我必须自己解析 XHTML 正文吗？我想如果这是做事的标准方式，那么 ratpack 已经对此提供了支持。

这个问题与这个有关。

我们要做的是：在用户点击登录页面中的FacebookOR Microsoft accountOR等按钮的那一刻Corporate AD，调用验证技术配置文件来验证email用户用于登录的地址。

我尝试添加OrchestrationStep这样的：

这实际上是在调用REST-ValidateSignInEmail，因为我看到 URL 中返回的错误如下：

https://mywebsite.azurewebsites.net/#error=server_error&error_description=AADB2C%3a++is+disabled.%0d%0aCorrelation+ID%3a+bce3fd82-1111-4f17-ad99-ef7770ed8dda%0d%0aTimestamp%3a+2019 -11-08+20%3a34%3a51Z%0d%0a&state=7b7c70e7-7a77-77d7-7d7e-7dd0e7b707e7

该消息is+disabled来自我放在一起的 REST API，但这显然告诉我它期望作为参数的 email\signInEmail 声明没有被发送\传递。

这是技术简介：

你能解释一下如何解决这个问题吗？

我正在使用 ADFS 运行我自己的身份提供程序，并且不希望 Active Directory 与它集成。当用户登录该页面时，我不希望用户看到“使用其中一个帐户登录”页面，而是希望它默认为其他提供商。我注意到我无法在受信任的提供程序页面中禁用 Active Directory 提供程序。

我找到的一些资源，谈论调整实际登录页面 js 或代码文件以使其欺骗页面选择我想要默认的页面。我真的不想这样做，而且似乎这应该是某个地方的简单选择。

我想实现一个自定义身份提供程序，以允许我的所有用户一次访问我的应用程序。我选择用 Asp Net Core Identity 来写，但是我对如何将层分离成层有一些疑问。让我更好地解释一下；我想把前端和后端分开，这样前端只代表数据输入屏幕（登录页面上的用户名和密码，注册页面上的姓氏等），其余的逻辑位于防火墙后面的另一台服务器上，并且通过 Rest API 进行通信。如附图所示：

这是个好主意？在我发现已知只有 db 分离的示例中，IdP 的其余部分都在服务器上，但在安全性方面，Web 上暴露的服务器直接与具有敏感数据的数据库通信是不应该的灰心？很抱歉有很多问题，但我想以正确的方式进行。谢谢

我设置了一个演示，展示了使用 Shibboleth SP3 和 Azure AD 作为 IDP 的 SSO。这很好用。我现在希望以此为基础并演示 HTTP Artifact 绑定，但这不受 Azure AD 支持。

支持这个的 IDP 是什么？最好作为服务。

我正在我的公司设置 OAuth 2 和 OIDC。

我使用oidc-client.js来处理从 javascript 客户端调用受 OAuth 2 和 OIDC 保护的 API 的访问令牌。

当客户端是调用受 OAuth 2 和 OIDC 保护的 API 的 C# .NET Core 应用程序时，我现在需要获取访问令牌。

我可以尝试自己编写代码。但它有很多，我担心我会弄错一些。因此这个问题：

.NET Core 是否包含用于从身份提供者获取访问令牌的库？

需要明确的是，我不是在寻找使用 OAuth2 和 OIDC 保护 ASP.NET 服务的代码。该代码非常常见并且很容易找到。（事实上​​很容易找到我要找的东西很难。）

因此，我正在研究以了解它是否是在我正在工作的环境中实施 keycloak 的好选择。我使用 LDAP 来管理我工作场所的用户。我想知道是否有办法在所有即将推出的系统和一些现有系统中使用 keycloak 作为身份验证服务。我们目前正在使用需要改进或替换的 IDP 来管理它，还有一些系统使用自己的登录名（这最终会改变）。我遇到的主要问题是 keycloak 与 ldap 同步，我不希望用户数据存储在 keycloak 上，也许如果它只有登录数据。用户数据计划仅保留在 ldap 的数据库中，以防需要更新任何用户数据。

那么有没有办法仅将 keycloak 用作身份验证服务，在每个身份验证请求上从 ldap 获取用户凭据？

pd：也许我对什么是身份验证服务和什么是 IDP 的含义有误。

我所拥有的是：

• 提供令牌的 OpenId 投诉服务 (Rest)
• 此服务有多个证书（keyPairs）用于签署令牌，具体取决于请求令牌时的某些因素

  - 该服务正在实施 2 个 OpenId 端点（众所周知和证书）

我做了什么：

• 我成功地将服务注册为 AWS IAM 服务上的 IDP（因此我的两个 OpenId 端点正在工作，否则 AWS 不会接受 IDP）
• 我在 IAM 上创建了要使用 IDP 服务令牌承担的角色
• 我从 IDP 服务中获得了两个用于担任角色的令牌（每个都使用不同的密钥签名）

问题：

• AssumeRole 失败，我得到两个令牌的无效令牌异常。

我尝试在令牌中设置“孩子”声明，每个都使用证书的相应孩子，但它不起作用:(。

笔记：

• 我正在使用 Java AWS API 担任角色
• 当我删除其中一个证书（从下面的示例响应中）时，剩余的证书可以正常工作。所以问题在于拥有 2 个证书，但我需要拥有，AWS 应该有一种方法来处理我不知道如何处理的这种情况。

我的证书端点的示例如下：

我是SP。我正在尝试帮助 IdP 适当地向我发送（未经请求的 SSO）SAML 断言。但发生的情况是 SAML 没有签名。

在我的日志中，回调阶段启动后，它会引发一条错误消息：

ERROR -- omniauth: (saml_degreed) Authentication failure! invalid_ticket: OneLogin::RubySaml::ValidationError, Found an unexpected number of Signature Element. SAML Response rejected

当我从终端复制他的 SAML 消息并对其进行 64base 解码时，我看到的是从 element <saml:Issuer>到 element的跳转<saml:Subject>。没有<Signature>元素。

当我告诉他我收到的消息中没有<Signature>元素时，他（通过电子邮件）向我发送了他应该发送的消息，带有<Signature>元素。

我这边（SP）有什么事情要做吗？在我的元数据文件下方找到。我已经尝试将 WantAssertionsSigned 以及 AuthnRequestsSigned 更改为“true”，但仍然失败。