问题标签 [onelogin]

我使用 Kentor AuthServices 和 IdentityServer3 对 OneLogin 进行身份验证。当调用注销时，OneLogin 在未签名的响应上使用 SAML 重定向绑定，这会导致 Kentor AuthServices 出现问题。

SAML 配置文件规范第 4.4.3.4 节指出：

如果使用 HTTP POST 或 Redirect 绑定，则必须对消息进行签名。HTTP Artifact 绑定（如果使用）还提供了在取消引用工件时验证响应发布者的替代方法。

此处显示的示例：https ://developers.onelogin.com/saml/examples/logout-response显示了带有重定向绑定的签名。

有没有办法强制 OneLogin 返回签名的注销响应？

我使用 OneLogin SAML 测试连接器作为带有 ruby​​-saml gem 和提供的示例程序的模拟 IDP。这工作正常。

在我的实际应用程序中，我们是 SP，并且有多个身份提供者，每个身份提供者都有多个需要 SSO 到我们的应用程序的用户。

我观察到在示例应用程序中，我的 AuthnRequest 没有在任何地方定义用户的 nameID（电子邮件地址），而是以数字 id 的形式附加到 IDP URL。例如https://app.onelogin.com/saml/metadata/5551212，app.onelogin.com 标识 IDP，5551212 标识“用户”。我意识到当 onelogin 是 IDP 时，“用户”实际上是一个应用程序 ID，但在我们的例子中，我们希望它识别一个实际用户，而不是一个应用程序。

1. AuthnRequest 不包含 nameID 元素是否正确？
2. 我应该使用数字 ID 在 IDP 的 URL 中识别用户吗？数字 id 必须在各方之间离线共享，并且必须在发起 URL 中传输。我喜欢这种方法，因为它不会在 URL 中公开任何识别信息，例如电子邮件地址。
3. 我是否应该通过对电子邮件地址进行 Base64 编码并将其附加到 URL 来识别用户？这不太安全，但它可能没问题，因为传输将始终使用 SSL 加密。它避免了离线握手和共享数字ID。

我正在开发一个用于与 Salesforce 集成的 Web 服务，并且我在该服务中有自己的用户注册/登录机制。

我想为未注册用户实现 OAuth 和 SAML 登录。

目前，我已经开发了 OAuth 一种，用户可以利用它来授权我的服务以访问用户的 Salesforce 资源，并且在授权后，一个映射用户帐户将在我的服务中自动注册。然后用户可以作为登录用户访问我的服务，并且我的服务能够使用通过 OAuth 检索到的用户“访问令牌”访问 Salesforce 中的用户资源。

但是在 SAML 中，我真的很困惑，如果我可以拥有任何像 SAML 的“访问令牌”这样的部分以供将来访问资源？在 Salesforce 的文档中，它提到“使用安全断言标记语言 (SAML) 的联合身份验证允许您在附属但不相关的 Web 服务之间发送身份验证和授权数据。这使您能够从客户端应用程序登录到 Salesforce。”

在我的场景中，SP 是 Salesforce，IdP 可能是 OneLogin，我的服务扮演客户端应用程序的角色。抱歉，我无法描述更多细节，因为我不太确定如何使用 SAML 来实现与使用 OAuth 相同的机制。有没有人有同样的问题或刚刚解决了类似的问题？谢谢。

我对用 PHP 编写的 onelogin api 有一个简单的 curl 请求。该请求适用于我的终端参数，我可以登录我的用户，但是我在服务器上运行的 php 版本会生成访问令牌，但是当我尝试任何 GET 或 POST 请求时会出现 401 错误。我尝试了各种卷曲参数。一个 html 表单提交到托管在 lampp 堆栈上的这个 php 页面。似乎不起作用。下面是带有简单 GET 请求的 php 脚本。非常感谢您对此的任何帮助：

?>

我正在使用 One Login 作为身份提供者为单点登录创建一些 POC。我目前面临一个问题。

我在使用 WS-Fed for SAML2.0 的 One Login 中添加了一个使用 Owin 在 ASP.Net MVC 4.5 中创建的应用程序。

但我收到以下错误。附件是请求期间收到的元数据。以下是 web.config 中的配置设置。

当我验证证书时，我可以看到三个 URL。请你帮忙。

“/”应用程序中的服务器错误。

序列不包含任何元素

说明：执行当前 Web 请求期间发生未处理的异常。请查看堆栈跟踪以获取有关错误及其源自代码的位置的更多信息。

异常详细信息：System.InvalidOperationException：序列不包含任何元素

源错误：

在执行当前 Web 请求期间生成了未处理的异常。可以使用下面的异常堆栈跟踪来识别有关异常起源和位置的信息。

堆栈跟踪：

[InvalidOperationException：序列不包含任何元素]

System.Linq.Enumerable.First（IEnumerable`1 源）+415

c:\workspace\WilsonForDotNet45Release\src\Microsoft.IdentityModel.Protocol.Extensions\Configuration\WsFederationConfigurationRetriever.cs:100 中的 Microsoft.IdentityModel.Protocols.d__1.MoveNext()

System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess（任务任务）+13892036

System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification（任务任务）+61

c:\workspace\WilsonForDotNet45Release\src\Microsoft.IdentityModel.Protocol.Extensions\Configuration\ConfigurationManager.cs:0 中的 Microsoft.IdentityModel.Protocols.d__3.MoveNext()

[InvalidOperationException：IDX10803：无法创建以从以下位置获取配置：' https://app.onelogin.com/saml/metadata/560707 '。]

c:\workspace\WilsonForDotNet45Release\src\Microsoft.IdentityModel.Protocol.Extensions\Configuration\ConfigurationManager.cs:212 中的 Microsoft.IdentityModel.Protocols.d__3.MoveNext()

System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess（任务任务）+13892036

System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification（任务任务）+61

System.Runtime.CompilerServices.TaskAwaiter.ValidateEnd（任务任务）+13892181

Microsoft.Owin.Security.WsFederation.d__1f.MoveNext() +3191

System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() +31

Microsoft.Owin.Security.WsFederation.d__1f.MoveNext() +5675

System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess（任务任务）+13892036

System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification（任务任务）+61

Microsoft.Owin.Security.Infrastructure.d__0.MoveNext() +816

System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess（任务任务）+13892036

System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification（任务任务）+61

Microsoft.Owin.Security.Infrastructure.d__0.MoveNext() +333

System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess（任务任务）+13892036

System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification（任务任务）+61

Microsoft.Owin.Security.Infrastructure.d__0.MoveNext() +774

System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess（任务任务）+13892036

System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification（任务任务）+61

Microsoft.Owin.Security.Infrastructure.d__0.MoveNext() +774

Microsoft.Owin.Host.SystemWeb.IntegratedPipeline.StageAsyncResult.End(IAsyncResult ar) +96

System.Web.AsyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() +363

System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously) +137

我正在使用 onelogin REST api 登录用户：https ://developers.onelogin.com/api-docs/1/samples/login-user-via-api 。

我已成功按照所有步骤生成会话令牌，没有任何问题。

然后文档说将会话令牌发布到此 url：https ://admin.us.onelogin.com/session_via_api_token

但是，当使用会话令牌发布到该 URL 时，它只是将我重定向到 onelogin 登录页面。

这是帖子的 c# 代码。我在变量中有一个有效的会话令牌：session_token：

我想知道是否可以仅使用 IdP 证书的指纹配置 Onelogin SAML PHP 工具包，还是必须拥有完整的 X.509 证书？

提前致谢

我已经配置了 Drupal Onelogin 模块 d7oneloginsaml2v2.2.4.zip 的两个实例，详见 Onelogin 帮助页面 https://support.onelogin.com/hc/en-us/articles/201173604-Configuring-SAML-for-Drupal

这是在两次全新安装的 Drupal 7 上，两次我都遇到了错误：

注意：使用未定义的常量 onelogin_saml_password_tab_disabled - 在 onelogin_saml_menu_alter() 中假设为“onelogin_saml_password_tab_disabled”（/etc/drupal7/all/modules/contrib/onelogin_saml/onelogin_saml.module 的第 81 行）。

请注意，此错误似乎不会阻止模块进行身份验证。

任何想法为什么会出现此错误？在启用模块之前我需要配置什么吗？

我不是程序员，所以这对开发人员来说可能相当明显。

谢谢

保罗 C

我们在我的应用程序中构建 SSO 以使用 SAML 2.0 登录。在这里，我想构建 IDP 发起的 SLO 以进行注销。

问题1、在IDP中我们需要做哪些配置来发起SLO？

2. 如何使用 SAML 2.0 在 SP 中使用 IDP 发起的 SLO 响应？

请帮我

我有四个自定义应用程序（即 SP），使用 Auth0 或 OneLogin 作为我的 IdP。在 Auth0 中，我为每个应用程序创建一个连接器。当我登录到一个应用程序然后打开另一个应用程序时，我被重定向到 Auth0 以再次登录。

是否可以在第二个应用程序上自动将用户登录到我的 IdP（或 Auth0/OneLogin），而无需单击 Auth0 上的登录按钮，因为他们已经通过 Auth0 进行了身份验证？

不幸的是，需要将第二个应用程序嵌入到第一个应用程序中，让用户登录到第一个应用程序然后在 iFrame 中再次登录是一个糟糕的用户体验。