问题标签 [onelogin]

我正在编写一个 Python 脚本，它允许我将 STS 假定为 AWS，而无需在 AWS 账户中拥有 API 凭据。我在通过 API 从应用程序中获取一些参数时遇到问题。我需要角色 ARN 和身份提供者 ARN 才能使此调用成功。这两个都位于我们 OneLogin 中每个应用程序的参数部分。

如何通过 API 从应用程序中获取参数？

我正在尝试将支持 SAML 的应用程序作为 SP 连接到 Mircrosoft Azure 并将 Centrify 作为 IDP。SSO（单点登录）可以正常工作，但我在完成完整的单点注销过程时遇到了一些问题。

当用户单击 SP 内的注销按钮时，将向 IDP 发送一个（有效的）注销请求。IDP 会话按预期终止，但浏览器未重定向到 SP 以完成注销过程。似乎 LogoutResponse 完全丢失了。

关于 Centrify 的更新
正如来自 Centrify 的 Nick Gamb 所说（请参阅下面的答案），目前 Centrify 不支持此功能，但将在未来实施。

关于 Azure 的更新
您必须提供一个“wreply”参数 - 包含用户在注销后应重定向到的站点的 url_ecoded URL - 带有注销请求： https ://login.microsoftonline.com/common/wsfederation?wa= wsignout1.0& wreply=https%3A%2F%2Fmyapp.landingpage.com%2F &SAMLRequest=...

如果您使用的是 Onelogin PHP Toolkit，那么您还必须启用“retrieveParametersFromServer”-设置，否则注销响应将始终以“签名验证失败”告终。注销请求被拒绝”错误。

在 SAML 请求/响应之后（我允许自己删除证书信息......）：

集中 // 登录请求

集中 // 登录响应

集中 // 注销请求

Microsoft Azure // 登录请求

Microsoft Azure // 登录响应

Microsoft Azure // 注销请求

注销请求与其他 GET 参数一起发送：RelayState <= 指向 SP wa 的 Single Logout URL <= 设置为“wsignout1.0”</p>

我针对第三个 IDP（Onelogin）测试了 SP 配置，这里 SP 启动的注销按预期工作。用户从 IDP 会话中注销，然后通过 LogoutResponse 重定向到 SP。这里唯一的区别是我可以在 Onelogin App 配置中明确设置 SP Logout URL。

是否有任何选项可以在 Azure 或 Centrify 中定义 SP 注销 url？我错过了什么吗？

谢谢！

I'm trying to understand SAML and building a simple PHP app that will talk to a docker image of a SAML IDP. I set that up an got it running on port 8081.

I setup the IDP config:

I'm unsure what to put in the SP config for the URL value though:

Do I have to write that endpoint myself? If so what does it have to return?

从自述文件中不清楚，但这个问题似乎表明它确实如此。我只是在寻找澄清https://github.com/onelogin/ruby-saml/issues/272

SAML 对我来说很新，我不太了解它。我正在尝试在我们的本地机器上执行 SAML 演示。但它通过错误：

致命错误：在 C:\xampp\htdocs\saml\lib\Saml2\Settings.php:121 堆栈跟踪：#0 C:\xampp\htdocs\ saml\lib\Saml2\Auth.php(107): OneLogin_Saml2_Settings->__construct(Array) #1 C:\xampp\htdocs\saml\demo1\index.php(13): OneLogin_Saml2_Auth->__construct(Array) #2 { main} 在第 121 行的 C:\xampp\htdocs\saml\lib\Saml2\Settings.php 中抛出

设置文件是这样的：

我不确定在 SP 和 IDP 配置文件中放入什么。请建议在我的本地机器上执行它的说明。

我正忙着编写一个测试工具来验证我一直在开发的 REST API。在正常使用中，我的 REST API 将被 OneLogin 保护和验证的 Web 应用程序使用。因此，我的测试工具必须使用 OneLogin 进行身份验证，然后才能调用我自己的函数。由于我的测试工具没有浏览器，我很难理解通过 API 进行日志记录的正确工作流程。到目前为止，我有：

1. 使用客户端 ID 和密钥请求身份验证令牌 ( https://developers.onelogin.com/api-docs/1/oauth20-tokens/generate-tokens )
2. 使用身份验证令牌、子域、用户名和密码请求会话令牌 ( https://developers.onelogin.com/api-docs/1/users/create-session-login-token )

我不太确定如何处理会话令牌。我怀疑我可能必须创建一个会话（https://developers.onelogin.com/api-docs/1/users/create-session-via-token），但这似乎使用了不同的 URL。

有任何想法吗？

更新：

这是我用于最后一步的代码。我传入了上一步获取的Session Token。

返回的状态码是 302，响应头包含Location: https://<my-company>.onelogin.com.

我认为这意味着最后一次通话由于某种原因失败，我被重定向回登录页面。

我已经搜索了 api 文档以及 StackOverflow，但我还没有找到我的问题的答案。我可能误解了系统的工作原理。

这是我们的客户想要的场景：

1. 用户登录我们的网站
2. 在这一点上，我们在我们的系统中验证用户，并通过 api 登录。
3. 用户登录我们的仪表板后，他们可以单击一个链接并被重定向到他们的第三方分析应用程序，因为我已经使用 One Login 创建了一个新会话。

以下是我已完成的步骤。

1. 我已通过 --> https://developers.onelogin.com/api-docs/1/oauth20-tokens/generate-tokens成功收到访问令牌
2. 我已成功使用访问令牌通过 --> https://developers.onelogin.com/api-docs/1/users/create-session-login-token生成会话登录令牌
3. 我已成功使用会话登录令牌创建新会话。

在发出创建新会话请求后，我从 One Login 接收到正确的 cookie，并且 - 那时 - 如果我输入 URL onelogin.com/login，我将直接进入仪表板。

在这一点上，我知道我已通过 One Login 进行了正确的身份验证。但是，我不确定如何通过我们网站上的链接直接访问第三方应用程序。

谢谢。

M 问题是否可以检查生成的 Authrequest（在签名之前）作为测试？通过命令行或php页面。

非常感谢任何建议

有没有人尝试成功使用 OneLogin Java Toolkit JSP 示例？

我已经下载并尝试了“java-saml-tokit-jspsample”。我能够按照说明使用 JDK8 设置 Eclipse。我能够在示例中配置“onelogin.saml.properties”，并在我的 OneLogin 帐户中配置 SAML 测试连接器。

当我运行应用程序时，我得到了登录链接，它能够连接一个登录名并取回身份验证响应。我也可以在调试时看到收到的 XML，但是程序在处理响应时崩溃了。

它在 Util.java 中的以下源代码行崩溃。

有错误

“java.lang.IllegalArgumentException：http: //java.sun.com/xml/jaxp/properties/schemaLanguage ”

我尝试添加一个 xercesImpl.jar 和 xml-apis.jar 来查看它是否是 XML 解析器问题，但它也没有帮助。

如何从 OneLogin SAML 返回值中获取返回用户 ID？我查看了消费者模块，但没有看到任何返回值。