问题标签 [saml-2.0]

一位客户多年来一直使用我们的 PHP Web 应用程序，但现在想要一个单点登录解决方案 (SSO)。

他们有一个登录的公司内部网，并且他们希望使用相同的登录作为我们的 Web 应用程序（位于外部域上）的自动身份验证。

他们谈论的是 SAML 2.0，直到现在我才听说过。

我搜索了互联网，但很难理解所有不同的概念（身份提供者等）。所有关于该主题的网站似乎都需要一些我没有的基本知识。我不明白必须如何以及在何处存储身份验证数据...（似乎是在来自 cookie 的 post-data 中，但是第一次开始执行此操作时如何在任何地方获取身份验证 xml？！）

有人可以针对这种特定情况向我指出一些方向吗？

我对 SAML SSO 很陌生。我正在使用一个支持 SAML 身份验证的 idp webapp。

问题是我需要其他 sp 使用我的 idp 进行身份验证，并且我不想在每个平台（Python、PHP、Java 等）中实现所有协议。

我在想是否有办法使用 apache 过滤器来实现 sp 身份验证流程。

有人想过这个吗？

谢谢。

我有几个身份提供者需要输入来自最终用户的一些信息集以进行身份​​验证。

当用户单击服务提供商网页中的“使用...进行身份验证”按钮时，他会使用 SAML AuthnRequest 重定向到所选的身份提供商。

然后身份提供者显示一个网页，他要求提交一个包含一些字段的表单，例如：名字、姓氏、地址，然后检查一个人是否真的住在那个地址。

如果检查成功，则返回 SAML 响应，状态为 Success，并将 Firsname、Lastname、Address 作为属性返回。

如果检查失败，则返回 SAML 响应，其状态 AuthnFailed 具有相同的属性。

我的问题是它是否正确使用 SAML？

我应该如何正确配置它以每次都要求身份验证（不应建立与身份提供者的会话）？

简短说明：SAML-P 2.0 中是否有“whr”等价物？

LONG：我们正在使用 ADFS 2.0 实施 Federated Provider 安全令牌服务。

我们的回复方之一将需要 SAML 2.0 协议。ADFS 支持 SAML-P 2.0，但我不确定要告诉依赖方在 SAML 请求中指定什么以将请求转发给正确的身份提供者。

使用 WS-Federation 时，您只需将“whr”属性附加到请求查询字符串，它将使用该值进行重定向。SAML-P 是否有等价物？

我正在研究联合身份验证的概念证明。

我创建了一个自定义 STS（基本上是对 Windows Identity Foundation Basic STS 示例的重写）并设置了依赖方以成功使用它。

PoC 的下一阶段是使用 Azure ACS 允许使用 Google/LiveID/etc 凭据以及自定义 STS 提供的凭据进行联合登录。

一切正常，除了我无法让 Azure ACS 接受来自自定义 STS 的令牌。

给出的错误是：

现在，对我来说，这看起来 ACS 无法从自定义 STS 解密 SAML 令牌，但安装在 Azure ACS 中的唯一解密证书是用于签名和加密自定义 STS 响应令牌的证书。

我在这里想念什么？

我正在尝试让 simplesamlphp 1.8 使用 ADFS 2 作为 IdP。

现在我在获取浏览器 NTLM 身份验证对话框时严重卡住了，该对话框不接受任何登录（在选择“测试身份验证源”->“默认-sp”之后）。

在 config/config.php

在 metadata/saml20-idp-remote.php （从https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml与 /admin/metadata-converter.php 转换）

在 ADFS 声明规则中，我有“允许所有用户访问”和转换规则“电子邮件地址 - > 名称 ID”

任何想法如何进行？

我正在尝试为 OpenAM 编写 SAML2 AuthnRequest。我有一个 URL，我可以针对该 URL 执行获取，但是在将其组合到 XHTML 帖子表单中时遇到问题。

带有查询字符串的工作 URL 是

http://internal.authhost.com:8080/opensso/idpssoinit?NameIDFormat=urn:oasis:names:tc:SAML:2.0:nameid-format:transient&metaAlias=%2FMYRealm%2Fidp&spEntityID=https%3A%2F%2Fsaml.salesforce .com&binding=urn%3Aoasis%3Anames%3Atc%3ASAML%3A2.0%3Abindings%3AHTTP-POST&RelayState=webj_captureCustomerDetails

我的 html 表单如下所示：

SAMLRequest 的值是 Base 64 编码表示

发出此表单会导致来自 OpenAM 的错误消息指出“服务提供商 ID 为空”

我可以立即看到 XML 不包含 metaAlias=/MYRealm/idp 参数，但消息表明它也找不到 spEntityID=https://saml.salesforce.com 参数。

请告知需要在 XML 中指定这两个属性（metaAlias 和 spEntityID）的位置。

一个指向指定 OpenAM COT / IdP 配置如何映射到 SAML AuthnRequest 消息的链接也将不胜感激。

我正在研究在 Django 部署中使用 Shibboleth 的选项。从我发现的情况来看，事情看起来有些稀疏。任何人都可以评论以下内容吗？

• 是否有人使用 django_shibboleth 模块（参见http://code.arcs.org.au/gitorious/django/django-shibboleth/trees/1.1）？如果是这样，您对这个模块有什么经验？

• 用于 Django（例如，django-saml2-sp）和一般 Python（例如，pysaml2）的 SAML 2 实现似乎有些实验性，并且包含的​​文档很少。有人知道 Django/Python 的稳定 SAML 2 解决方案吗？

提前感谢您的帮助！

团队，请帮助我如何为 iPhone 应用程序实现基于 SAML 的身份验证。我有基于 .NET REST 的 JSON 网络服务作为我的后端服务。

请就这个要求给我建议。

我已经设置了两个 simpleSAMLphp 实例，一个作为服务提供者，另一个作为身份提供者（例如：http ://sp.service.com和http://idp.service.com）。对于身份验证，我使用sqlauth。在 sqlauth 示例中，身份验证成功后，IdP 将数据库表中的名称、用户名、电子邮件 ID、组名返回给 SP。现在我想自定义表格并想从中检索所有属性。

需要定制哪个文件或功能来实现这一点？