问题标签 [kentor-authservices]

每个人。我有一个谜。这对某人来说可能是显而易见的，因此这是。

大约 10 天前，我的 Service Provider 应用程序在完美运行了几周后开始抛出一个奇怪的错误。我有一个在本地和 Azure 上运行的服务提供商。该应用程序使用 KentorAuthServices 来处理混乱的 XML 和加密位。它运行顺利，然后突然开始抛出错误，“无法创建哈希算法对象。” 我启用了框架调试并将其跟踪到堆栈跟踪摘录的最后一行中指示的位置：

确实，它无法创建哈希算法对象，因为这个 URI 所代表的算法

http://www.w3.org/2001/04/xmldsig-more#rsa-sha256

现在声称不受支持，尽管在 KentoAuthServices 中内置了一个自定义处理程序，并且在事件突然发生之前它按预期工作。作为健全性检查，我将 SP 应用程序指向 Kentor 自己的存根 IdP，应用程序的行为与预期一致。同样，我针对 OneLogin 的 SAML 验证实用程序验证了 SAML 响应，我将在下面重现该响应，该实用程序还报告响应有效但算法不受支持。

我知道的事情：

• Azure AD 证书是最新的、完整的并且可在 LocalMachine 的受信任的根证书存储中访问，并且是在 10 月 10 日的翻转策略更改之后创建的（无论如何，这在此处应该无关紧要）。
• SP 没有使用任何时髦的自签名证书签署请求；也从来没有。
• 在本地和 Azure 上，该应用程序都与 SSL 端口挂钩。
• app的配置——EntityId、Issuer、元数据位置及加载、绑定、请求签名行为；等等——保持不变——除了我的测试，它添加了一个指向存根提供程序的可交换 IdP 引用。
• Azure AD 成功处理请求并发出响应，否则有效；但是，System.Security.Cryptography 无法为签名创建散列。

我觉得我遗漏了一些明显的东西，除了应用程序从一天到另一天都没有改变的事实；因此，我不得不询问世界上是否有任何变化来解释为什么 rsa-sha256 即将死亡。这是经过编辑的 SAML 请求和响应，供您阅读。大多数识别信息已被删除，但您已经知道它来自 Azure AD，因此证书存在，您可以对其进行验证以进行教育。谢谢，祝你有美好的一天。

单点登录对我来说是一个非常新的概念。任何人都可以帮助我在我现有的 Web 应用程序中实现 kentor 身份验证服务。
我的应用程序是在 asp.net mvc 中开发的

谢谢

就像这里的人...

使用 Kentor.AuthServices.StubIdp 作为生产 IDP

...我对 SAML 不太熟悉。评论者提到需要额外的检查来验证传入的请求，但不包括应该进行哪些类型的检查以确保它们是有效的（我会在那里添加评论但不幸的是这个网站不会让我还）。

是否有任何页面更详细地说明了应该进行的检查以及如何进行检查？就此而言，是否有任何关于如何在更广泛意义上使用它的教程？

我正在尝试提出一个 IDP，它只会将用户名和密码传递给函数。此函数将返回详细信息是否有效，然后 IDP 将向客户端发送回一些内容以显示该函数是否成功（可能是某种成功的令牌）。这只是一个中间步骤，稍后将要求 IDP 自己进行检查。

知道如何实现这一目标吗？

无论哪种方式，我仍然有兴趣知道应该进行哪些检查以确保安全。

我想使用 IdentiyServer4 并添加 KentorAuthServices 中间件进行 SAML 身份验证。

从IdentityServer4 文档中，它建议添加Microsoft.AspNetCore.Authentication.Cookies包并使用带有 SignIn 类型的中间件作为IdentityServerConstants.ExternalCookieAuthenticationScheme.

我配置相同，但无法在变量中获取 access_token info。

info.AuthenticationTokens在这里，我在属性中得到零条目。我是否需要在 Kentor.AuthServices (aspnetcorebranch) 中进行一些自定义以支持访问令牌或需要在 identityserver4 中进行配置

我正在将 Kentor AuthService 用于 SAML 2.0 SSO，并且能够对其进行设置并从 idp 响应中获取声明。

我的问题是：在我的声明中，我从 Idp 中设置的属性中获取用户的电子邮件，但是如何从我的回复中的电子邮件属性中的 External LoginInfo 填充电子邮件属性（见下图） ?

我的 SAML2 服务提供商元数据：

我已经正确配置了 kentor 单次注销，如 kentor 文档中提到的单个 adfs。但是在客户端部署时，他们有不同的 adfs 设置。

当我们键入特定域时，来自我们的应用程序的客户端设置（可能是 ADFS 代理不确定）。它从它们重定向到一个共同的 sso 域（xxx.domain.com），我们可以选择区域，每个区域都有不同的 adfs 服务器（yyy.domain.com、ttt.domain.com）等，这些服务器在内部处理。

当我们登录它时，如何在不选择单个区域域的情况下注销特定区域 adfs 域。我用单个 adfs 设置的相同配置不起作用。

我正在尝试使用 Kentor 库的 SampleOwinApplication 进行 Saml 2 身份验证。我正在尝试通过访问http://localhost:57294/AuthServices/SignIn?idp=http%3a%2f%2fstubidp.kentor.se%2fMetadata 登录。当我尝试登录时，我收到一个奇怪的错误：

签名算法http://www.w3.org/2001/04/xmldsig-more#rsa-sha256弱于接受的最小值http://www.w3.org/2000/09/xmldsig#rsa-sha1。

似乎此错误仅出现在最新版本（0.20.0）中，因为我之前尝试过该库但没有看到该错误。是错误还是配置中缺少某些东西？

我知道这个问题在 StackOverflow 上已经问过很多次了，而且可能是重复的。我已经阅读了近 2 天的关于 SSO、SAML、Identity Server、Kentor Authservices 的文章。现在我能够理解每个单独的术语，但我仍然无法连接这些点。

我想使用 C# SAML 在 asp.net 中实现单点登录 (SSO)。

• 如何实现身份提供者？我必须自己实施吗？（我将根据数据库对用户进行身份验证）
• 如何实现服务提供者？

这可能看起来很傻，但我对此并不陌生。任何指针或帮助将不胜感激。

谢谢。

我想使用 Kentor.AuthServices 在我的 Web 应用程序中使用 Okta 进行身份验证。我关注了文章“如何将 KentorIT AuthServices 与 Okta 一起使用”。

因为应用程序会抛出错误：

签名算法http://www.w3.org/2001/04/xmldsig-more#rsa-sha256弱于接受的最小值http://www.w3.org/2000/09/xmldsig#rsa-sha1。

这就是我在global.asax以下行中添加的原因：

此行导致以下错误：

无法加载文件或程序集“Kentor.AuthServices，Version=0.21.1.0，Culture=neutral，PublicKeyToken=null”或其依赖项之一。需要强命名程序集。（来自 HRESULT 的异常：0x80131044）

如何解决这个问题？

我正在尝试在我的 OWIN 网站中通过 Kentor 身份验证服务使用 SAML。但是我认为配置有问题，因为 SAML 返回 URL 与我配置的不同。我做错了什么。

这是配置

这是身份验证请求

提前致谢。