问题标签 [kentor-authservices]

我正在尝试使用 Postman 制作 SAML 2 Post。这模仿了来自http://stubidp.kentor.se/的 post 请求发送到我们的服务提供商以进行 SAML 身份验证的内容。但是，邮递员请求总是返回错误。邮局有什么额外的要求吗？

我正在使用 Kentor.AuthServices 在 Web 窗体应用程序中实现服务提供程序。我看到 SP 重定向到 idP，然后将 SAML 发布到 idP。但是，它再次被重定向回 idP。我猜有些配置不正确，但无法追踪。

我们需要启用 SAML SSO 登录到我的应用程序。我的应用程序是 Angular JS + Asp.Net Web API 解决方案。我的应用程序已经使用 Owin Bearer Authentication 作为授权模型。

要启用 Saml SSO，我正在尝试使用Kentor Auth Services。但是当 Idp 调用我的 webapi 时，我遇到了一个问题。kentor 服务抛出The given key was not present in the dictionary。错误。我使用http://stubidp.kentor.se/来测试实现。下面是我在启动类中的 Saml 配置

错误的堆栈跟踪

您能否告诉我为什么 Kentor 无法获取元数据？

我正在使用 Kentor Auth Services。使用 Kentor Sample Idp 测试 SAML 集成时出现错误

ID1035：SAML 断言不包含任何 AudienceRestrictionConditions。要接受没有 AudienceRestrictionConditions 的断言，请将 SecurityTokenHandlerConfiguration.AudienceRestriction.AudienceMode 设置为 AudienceUriMode.Never。

有人可以让我知道为什么我会收到此错误。我还看到了一个名为 Audience 的字段。我把它留为空白，因为我不确定需要在那里添加什么我尝试添加“从不”，但在检查源时，它似乎需要一个 Uri。

有人可以让我知道在这个领域需要给出什么吗？

我正在使用 [Kentor Auth Services][1] [HttpModule][2] 与使用 Okta 作为 IdP 的应用程序集成。我可以让 SampleApplication 与 Okta 一起使用，当我在通过 NuGet 安装 Kentor Auth Services 后通过 web.config 尝试相同的配置时，什么也没有发生，即使我登录 Okta 并来到应用程序从那里。

Web.config 如下：

任何帮助或指导将不胜感激。

编辑

元数据

作为服务提供商，我们收到了来自 IDP (ADFS) 的以下声明。

• http://kentor.se/AuthServices/LogoutNameIdentifier
• http://kentor.se/AuthServices/SessionIndex

在 AuthServices 代码库中 AuthServicesClaimTypes.ClaimTypeNamespace 设置为http://kentor.se/AuthServices。这个命名空间是否应该反映 SP ( https://mysite/AuthServices )？

此外，在 identityProviders 配置部分 (web.config) 下，我没有设置 logoutUrl，但我仍然从 Idp 获得 LogoutNameIdentifier 声明。我们不支持单点注销。

任何建议都受到高度赞赏。

谢谢你。

Kentor AuthServices（SP 发起的 SSO）中如何处理 TokenLifetime？我认为它的处理方式必须与 WebSSOLifetime 不同。

• SP 是否需要声明：来自 IDP (ADFS) 的http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration ？
• Kentor AuthServices 是否处理来自 IDP 的到期索赔？

谢谢您的帮助。

我们需要启用 SAML SSO 登录，我们正在使用 Kentor HttpModule 实现 SSO。当 Idp 调用我的应用程序时，我遇到了一个问题。kentor 服务抛出 The given key was not present in the dictionary。这里的 idp 是 ADFS。

我们尝试使用 stubidp，它工作正常。

下面是我的 Saml 配置

例外

我使用Kentor.AuthService.Idp项目作为起点。

我尝试单点登录的启用 SAML 的服务提供商需要以下属性作为元数据文件的一部分：

登录 ID、合作伙伴 ID、平台、用户电子邮件

如何将这些添加到现有元数据或创建包含这些的新元数据？

服务提供商文档特别指出：

属性列表必须包含在元数据文件和您生成的断言中

在元数据中包含这些属性是否满足服务提供者的要求，或者在断言中包含这些属性与将它们包含在元数据中是完全不同的任务？

使用 IdentityServer3、Kentor.AuthServices 0.19（带有 OWIN 中间件）和标准 MVC 4 WebApi 2 应用程序，我们按照https://github.com/KentorIT/authservices/blob/master/doc/IdentityServer3Okta.md上的说明进行操作 ，它出现了我们成功实现了 IDP 发起的登录。

然而，当我们仔细观察并使用 KentorStubIdp（我们第一次注意到我们被提示提供 SAML 响应的地方）时，我们发现了以下内容

1. IDP 命中我们的端点，例如 identityserver/okta/acs，状态 303
2. 在我们的应用程序中成功重定向到我们的重定向端点，该端点被编码为将重定向返回到身份服务器授权端点，因此 var client = new AuthorizeRequest(new Uri(identityServerUrl + "connect/authorize")); var returnUrlForIdp = client.CreateAuthorizeUrl( "{client_identifier}", "id_token token", scopesForAuth, hostUrl, state, nonce, acrValues: string.Format("idp:{0}", idp), responseMode: "form_post" ); return Redirect(returnUrlForIdp);
3. 这导致身份服务器/连接/授权的 302。看起来这有它需要的所有登录信息，我本来希望 200 直接进入应用程序，但是我们得到一个 302 到 identityserver/login?signin=xxx ，它给出了一个 401 似乎触发......
4. 随后对登录端点的调用将 303 重定向回 IDP，这标志着 SP 发起的最终成功登录的开始。这意味着它返回到 identityserver/okta/acs，然后是 /callback 端点，然后是 /connect/authorise，然后用户登录。

我在第一次和第二次调用 /connect/authorise 之间找不到任何有意义的区别，除了

1. 在成功尝试之前调用 identityserver/callback
2. idsvr 和 idsvr.session 的 Cookie 似乎不是在第一次调用时设置的，而是在第二次调用中设置的

此外，Kentor 配置设置似乎是有序的 - 例如 AllowUnsolicitedAuthnResponse = true ， AuthenticationMode = Microsoft.Owin.Security.AuthenticationMode.Passive尽管最后一个似乎没有任何效果

在这一点上，我只是想弄清楚a）这是否应该在幕后工作，b）如果不是，我应该把注意力集中在哪里来诊断问题。

如果 IDP 发起的 SAML 请求缺少信息，是否有一组特定的情况会触发 authservices 发起 SP 发起的 SAML 请求？

非常感谢任何建议。