问题标签 [kentor-authservices]

我有一个 MVC 应用程序（.Net Framework 4.5），它在过去三年中一直存在并使用表单身份验证机制。现在我们想在 Okta 的帮助下集成 SSO 功能。使用 KentorIT 身份验证服务，我能够将 Okta 与我的 mvc 应用程序集成。其中，所有配置都在 web.config 文件中设置（例如：entityId、signOnUrl 等）。有没有办法以编程方式配置这些 sso 设置？我发现 KentorAuthServicesSection 是我们必须实例化以执行该过程的类。目前它从配置文件中读取设置。

那么用自定义实现修改这个 ConfigurationManager.GetSection("kentor.authServices") 部分就可以了？还是有其他好的方法？

我有一个 MVC 应用程序（.Net Framework 4.5），它在过去三年中一直存在并使用表单身份验证机制。此应用程序提供不同的帐户，如个人、免费赠品、企业等。对于企业帐户，我们在同一个应用程序中处理所有内容。即假设一个名为“xyz”的企业使用应用程序创建了一个企业帐户，那么我们提供了一个自定义 url，如“<a href="https://application/xyz/login" rel="nofollow noreferrer">https:/ /application/xyz/login”并从我们识别该企业的 url 中。我不知道他们这样做的确切原因，因为我已经看到拥有企业帐户的应用程序被创建为子域（例如https://xyz.okta.com）。由于应用程序是实时的，我无法修改现有系统。现在我想将 Okta 集成到其中。在这篇博文https://stackoverflow.com/questions/43980281/programatically-configure-sso-settings-using-kentor的帮助下，我能够从代码中配置设置。我打算将所有与配置相关的内容（单点登录 URL、受众 URI 等）存储在数据库中。在身份提供者实例化流程中，有什么方法可以识别呼叫来自哪个 okta 企业帐户？

我有一个 MVC 应用程序（.Net Framework 4.5），它在过去三年中一直存在并使用表单身份验证机制。此应用程序提供不同的帐户，如个人、免费赠品、企业等。对于企业帐户，我们在同一个应用程序中处理所有内容。即假设一个名为“xyz”的企业使用该应用程序创建了一个企业帐户，那么我们提供了一个自定义 URL，例如“<a href="https://application/xyz/login" rel="nofollow noreferrer">https:/ /application/xyz/login”，并从我们识别该企业的 URL 开始。我不知道他们这样实现的确切原因，因为我已经看到具有企业帐户的应用程序被创建为子域（例如https://xyz.okta.com）。现在客户要求将 Okta 集成到此应用程序中。因此，我查看了 Okta，发现 SAML 是正确的做法，并最终出现在 KentorIT Authservices 中。最初，我能够将其与示例 MVC 应用程序集成，并且身份验证部分工作正常。有了一些关于 SSO 的基本概念，我开始将 kentor authsevices 集成到我的应用程序中。我在此实施中发现的挑战是：

1) 对于企业帐户，每个企业的 Okta 配置设置都不同，并且在我当前的应用程序实现中，无法从 web.config 中进行设置。因此，我尝试从代码中进行设置，并且能够通过替换来集成这些设置Configuration.Options.FromConfiguration;.我打算在数据库中存储所有与配置相关的东西（单点登录 URL、受众 URI、身份提供者颁发者“等），以便我可以随时获取信息，并且我假设“身份提供者颁发者”每个 Okta 帐户的 ID 都是唯一的。在 IdP 启动的流程中，当用户尝试访问应用程序时，它将重定向到 AuthServices\Acs 操作方法，然后我正在尝试读取配置设置。来自请求有什么方法可以识别来自哪个 Okta 帐户调用（如身份提供者颁发者）？目前，我设置了“身份提供者颁发者””值（我认为这对于 okta 帐户应该是唯一的）到 General SAML 设置选项卡下的 Default RelayState 字段，我能够从 AuthServices\Acs 操作方法中检索它。这似乎是个好主意吗？请建议。

2) Enterprise 帐户受许可证数量的限制（例如 50 个）。假设 Enterprise Okta 管理员有意添加了 55 个用户，所有这些用户都可以根据默认设置成功验证应用程序。有什么办法可以处理这种情况。我是否需要记录特定企业帐户下的用户列表？

3）从文件中我了解到，Kentor 身份验证服务仅用于身份验证，授权部分必须从应用程序本身完成。当前的应用程序实现由一个自定义授权属性组成，该属性检查存储在数据库中的用户权限。那应该是原样，我们必须根据数据库权限进行授权。对？

期待您的宝贵建议，如有错误请指正。提前致谢。

我是一个新手，我已经设置了我的 MVC 应用程序，它将使用 okta 进行身份验证，尝试使用 KentorIT 来实现，当用户未登录时，它会重定向到 Okta，但是 Okta 发回了响应，我得到了 null始终在 loginInfo 对象中。

我已将我的 POC 代码放在 Git 位置下方，

https://github.com/psharepoint10/MVC-okta-KentorIT

我想我在配置/设置中犯了一些小错误。

任何帮助表示赞赏。

我有一个使用Windows Authentication Service的 IdentityServer3 。现在我想在我的 IdentityServer3 上处理 SAML2 协议，我看到Kentor可以为我做这件事。

问题是 Kentor 在所有示例中都使用 OpenID Connect，我搜索了一段时间，但找不到任何有关如何将 Kentor 与 WindowsAuth 结合使用的文档。经过多次尝试都没有成功，我来这里询问是否真的有可能以及如何？

这是我在 Startup.cs 中的（非工作）配置：

此配置构建，但是当我使用 Dropbox SSO（使用 SAML2）时，我得到了异常No Idp with entity id "Dropbox" found。

是否有示例如何将 OneLogin SSO (SAML) 集成到 ASP NET MVC 应用程序，例如使用 Kentor Auth Owin 扩展？

我对此功能有疑问。登录操作适用于 ADFS 并返回到 AuthServices/Acs 但注销操作不调用 ADFS 并直接重定向到 returnUrl 参数（使用提琴手检查）。我打电话给这个链接：/AuthServices/Logout?ReturnUrl=~/&Status=LoggedOut

web.config 设置如下：

如果我https://ADFS DOMAIN/adfs/ls/?wa=wsignout1.0在另一个选项卡上启动，它正在工作，我会从我的网站返回登录页面。

所以检索 logouturl 并发送它似乎是一个内部问题？

感谢您的帮助。

我正在使用 Kentor AuthServices.OWIN 发送 SAML2 请求，但无法配置名为ProviderName的属性。我在物业下的任何地方都找不到它。是否有任何解决方案可以将自定义属性添加到 AuthRequest？

我在 .Net webform 中使用 Kentor Owin 中间件，我可以看到 Idp 返回带有断言的 SAML，但下面的代码始终返回 null。

var loginInfo = Context.GetOwinContext().Authentication.GetExternalLoginInfo();

我可以看到“.../AuthServices/Acs”在重定向时返回 error=access_denied 参数。

有谁知道解决方案是什么？

有没有人在尝试配置 EntityId 包含查询字符串参数的 SSO Idp 实例时遇到任何问题，例如

只想检查 EntityId 字符串所需的特定格式是否存在任何已知问题。我们在尝试使用这种格式的 URI 配置测试系统时遇到错误（SP 登录流程期间的 Http 错误 504）。当 EntityId 只是一个字符串而不是完整的 URI 时，我们也遇到了类似的错误，例如12345678

这只发生在在 AWS 上运行 IIS 的 UAT 环境中。在开发模式下本地运行时，它可以正常工作。

我们的设置适用于来自 IDP 提供商（例如 Okta 或 ADFS）的其他 SSO 配置。