问题标签 [kentor-authservices]

我已在此处根据 MS 指南将自定义应用程序添加到我们的活动目录中

如何自定义 SAML 令牌中提供的声明以提供经过身份验证的用户的安全组。本文未提及组https://azure.microsoft.com/en-us/documentation/articles/active-directory-saml-claims-customization/

我通常知道对于 AD 中的 Azure 应用程序，我可以更改清单以使其返回安全组。但是我没有使用 SAML 版本的经验。我们关心的组数量非常有限，因此即使是 InGroupA 的布尔标志也可以使用。

我正在使用 kentor Authservices 并且该部分工作正常，但它对组没有要求。我试图让它需要属性http://schemas.microsoft.com/ws/2008/06/identity/claims/groups但是它仍然在没有包含此声明的令牌的情况下让我登录。

有任何想法吗？

如何创建使用 Saml 或 Google IDP 进行授权的请求？我的理解是，如果我在请求中输入“acr_values=idp:Google”，那么请求将通过我的 Google Idp 路径进行路由。同样，如果我输入“acr_values=idp:saml2p”，它应该通过我的 Saml Idp。这是一条不同的路吗？现在请求转到 localhost:98575/connect/token。

这是我当前的请求：

这是我的 IdentityServer Starup.cs 文件中的一个片段：

我使用 Kentor AuthServices 和 IdentityServer3 对 OneLogin 进行身份验证。当调用注销时，OneLogin 在未签名的响应上使用 SAML 重定向绑定，这会导致 Kentor AuthServices 出现问题。

SAML 配置文件规范第 4.4.3.4 节指出：

如果使用 HTTP POST 或 Redirect 绑定，则必须对消息进行签名。HTTP Artifact 绑定（如果使用）还提供了在取消引用工件时验证响应发布者的替代方法。

此处显示的示例：https ://developers.onelogin.com/saml/examples/logout-response显示了带有重定向绑定的签名。

有没有办法强制 OneLogin 返回签名的注销响应？

我正在使用 AuthServices 实现单点登录。如果我直接进入 IDP 的登录页面，一切正常：

https://fedserver/saml2sso?SPID=https://myapp.com

但是，如果我在我的应用程序中单击需要登录的链接，它会重定向到 /AuthServices/SignIn，而后者又会重定向到登录 URL，但会在 URL 后附加“&SAMLRequest=”。这会导致来自远程服务器的 403 Request Forbidden 响应。

https://fedserver/saml2sso?SPID=https://myapp.com&SAMLRequest=.....

如果我删除这个额外的参数并提交，然后我会成功登录并发送回我的应用程序。

我无法解决的是，哪一端是行为不端？远程服务器是否应该允许（看似多余的 SAMLRequest 参数，或者 AuthServices 不应该首先附加它？

编辑： 我尝试使用替代的商业组件（ComponentSpace SAML2），它可以与开箱即用的同一个 IdP 服务器一起工作，所以看起来这可能是 Kentor 的错误或配置问题。我仍然想知道这是否可以通过 Kentor 解决。

我正在尝试实现一个 saml 服务提供商，但我不确定单个 SP 可以覆盖什么级别的系统。

每个 SP 的什么级别的架构被认为是好的实践？我们是否应该为整个部门、每个服务器、每个域、每个应用程序池甚至每个站点都设置一个？

我们的组织有一个 shibboleth IDP，我正在使用 kentor authservices。它适用于一个站点，但 sp 是该站点的一部分。假设最佳实践不是每个站点一个，如果有人提示如何最好地使其更通用（即多个站点的一个 entityid），将不胜感激。

我正在解决与 SP 端的 Kentor Authservices 和 IDP 端的 Shibboleth 克隆的无限重定向相关的问题。我的问题是这可能是什么原因，我如何拦截并记录 Kentor 重定向回 IDP 的决定？

在我们的 ASP.Net 项目中，我使用“ Kentor.AuthServices ”作为 SAML2 身份验证服务。出于测试目的，我使用的是“Kentor.AuthServices.StubIDP”。

目前我们在页面中给出了一个带有href的锚标记： href=@Url.Content("~/AuthServices/SignIn?idp=" + entityId)

这工作得很好，一旦我们单击锚标记，它就会被重定向到身份提供者： http://localhost:17009//SamplePath/AuthServices/SignIn?idp=http://stubidp.kentor.se/Metadata

但是我们需要实现的是不使用锚标签，直接在浏览器中输入我们的站点URL地址，它应该会自动重定向到身份提供者。

请任何人告诉我 Kentors、Owin.AuthServices 是否扩展了 ASP.NET 身份提供程序。如果它支持，除了 WS-Federation 和 OpenID Connect 之外，是否还有一种方法可以支持 SAML 2.0，同时仍然使用 ASP.NET 身份框架。

在我们的 ASP.Net 项目中，我使用的是“Kentor.AuthServices.HTTPModule”并配置了 ADFS。

将 SAML 断言消费者绑定指定为“redirect”，将 Trusted-URL 指定为“ourSiteUrl”。如果用户未登录，它将自动重定向到 ADFS 登录页面。登录成功后，它将重定向到“ourSiteURL/AuthServices/Acs?SAMLResponse=...”，并在页面中抛出异常：“Kentor.AuthServices.Exceptions.InvalidSignatureException：无法验证来自未知发件人的消息的签名win- 3obaenpbsol.dc10.inapp.com/adfs/services/trust。”

还附上了异常图像。请帮忙..

ADFS 登录错误

在我们的 ASP.Net 项目中，我正在使用Kentor.AuthServices.HTTPModule并配置了 ADFS。

将 SAML 断言消费者绑定指定为“redirect”，将 Trusted-URL 指定为“ourSiteUrl”。

ADFS登录成功后会重定向到ourSiteURL/AuthServices/Acs?SAMLResponse=...并抛出异常

Kentor.AuthServices.Exceptions.InvalidSignatureException：无法验证来自未知发件人 win-3obaenpbsol.dc10.inapp.com/adfs/services/trust 的消息的签名。

这个问题的原因可能是什么？