问题标签 [saml-2.0]

我需要使用 SP 发起的 SSO 将 PingFederate 与 Salesforce 集成。

我的目标是让 Active Directory 中的用户在访问 Salesforce 应用程序 URL 时自动登录。我已经在 PingFederate 中创建了与 Salesforce 的 SP 连接，并在 Salesforce 中上传了 PingFederate 证书。在 Salesforce 中，我已将 IdP 颁发者实体 ID 设置为与 PingFederate 中的匹配。

对于 SP 发起的 SSO，我需要为浏览器提供哪个 URL 以测试此设置是否正常工作？

我是 SAML 2.0 的新手。我找不到一本关于SAML亚马逊的书，它可以指导你如何开始SAML，尤其是SAML2.0。

我正在寻找使用身份提供程序（开源）的端到端SSO演示应用程序开发，以便我可以模拟端到端的. 所以我的意思是，从身份提供者生成一个令牌，处理 SAML 消息/发送回响应等，然后创建 2 个或更多域/登录以模拟成功或错误消息。SAMLSSOSSO

SSO任何您知道的新手到中级或高级的教程/书籍/资源都SAML将不胜感激。

最后如何SAML使用WS-Security？

SAML 协议（Sing Sign ON）是单独用于 Web 应用程序和 Web 服务，还是也用于标准应用程序？

修改：

我正在寻找一些用于单点登录的 Windows（标准应用程序（不是基于 Web））协议

我有一个关于 SAML2 的基本问题。典型流程是用户从受保护的 SP 请求资源。SP 检查用户是否有安全上下文（比如 cookie？），如果没有找到安全上下文，它会构造 AuthRequest，然后将浏览器重定向到 IdP。现在 IdP 同样首先检查用户是否具有现有的安全上下文。IdP 如何做到这一点？IdP 是否也为此目的使用 cookie？

我正在 WIF 中处理包含 EncryptedAssertion 的 SAML2 令牌。标记不包含“主题标识符密钥”扩展属性，因此 WIF SecurityTokenHandler 在尝试从 LocalMachineStore/Personal 获取正确的 X509 证书时失败。

问题显然是用于加密令牌的证书不包含 SKI 扩展，当然令牌生成代码 (Java) 似乎并不需要它。为了避免修改生成代码，有没有一种方法可以让 WIF SecuityTokenResolver 不检查收到的 SKI 令牌，而只需直接使用本地存储证书来解密令牌？

客户端尝试使用 SAML 将 SSO 引入我们的应用程序，而我们的应用程序抛出 followimg 异常

org.opensaml.xml.security.SecurityException：SAML 消息预期目标端点与接收端点不匹配。

我们在最后设置了一个 OpenSSO (OpenAM) 实例，以作为服务提供商 (SP) 工作。到目前为止，它在 SP 发起的 SSO 场景中运行良好，但是，我最近不得不为 IDP 发起的场景设置它，但无法让它成功运行。解释一下，在这种情况下，IDP 想将 SAMLResponse 直接发送到我端的 Assertion 消费者服务，我们的 OpenAM 实例应该能够成功消化响应并将用户发送到我们的底层应用程序。我的问题是：

1. 除了在 IDP 和我们 (SP) 之间交换/上传元数据之外，在这种情况下是否需要任何其他配置？

2. 我可以将 iDP 的元数据上传到与当前在 SP 启动方案中工作的其他 IDP 相同的 COT 中吗？还是每个 IDP 提供者都应该有一个新的 COT？

3. 我应该向 IDP 提供哪个 URL 以将 SAMLResponse 发送到？是我们元数据中的 AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" 吗？几天前我尝试了这个，OpenAM 报告了一个错误——“这不是这个请求的正确消费者服务”或其他东西。

我正在尝试将 ADFS 设置为与 SAML 2.0 服务提供商一起使用，但我遇到了无法通过 ADFS 网页对用户进行身份验证的问题。这是我得到的错误：

有什么想法吗？我尝试了许多设置选项，甚至在新的 Windows 副本上重新安装了 ADFS。

I am working on integrating our application with client's Identity management system using SAML 2.0. Below is the requirement

1. The login screen of our application will have an option for Single Sign On. when clicked user will be directed to the login screen of Identity management system
2. The Identity provider will validate user's credentials and send us the information back to our application
3. based on the input from Identity provider the application has to be provide access to the user.

Now, the client has asked us to provide them SAML meta data files. Our application is developed in dot net.

I had a look at component space and ATC Inc components that can be used for SAML generation however I need help to start this.

Can someone help me on this? This is something new which I haven't worked.

Thanks, Abhilash

Shibboleth 如何保证第 3 方无法访问 IdP 和 SP 之间交换的 SAML 2.0 断言中包含的用户属性？

从 IdP 传输到 SP 时，所有用户属性都被加密是否正确？用户属性是否使用对称密钥加密，该对称密钥也包含在断言中，但使用 SP 的公钥加密？