问题标签 [saml]

我目前正在开展一个项目，在该项目中我创建了一个 CA 证书和几个子证书到该 CA 证书。这些证书将用于保护 SAMLV2 设置中的服务器间通信，因此我将拥有一个用于身份提供者的证书和一个用于服务提供者的证书。用户/浏览器不会验证证书，因此只有服务器需要信任我的自定义 CA。我的证书树看起来像这样：

• CustomRootCACert
  • CustomIdentityProviderCert
  • CustomServiceProviderCert

现在，我听到很多人说在生产中使用自制证书不好。但是当我问为什么时，人们通常只是在安全方面喃喃自语，但从不深入细节。是否有任何技术原因不在生产中使用我自己的证书？我想不出……当然，我意识到如果我失去对根证书的控制权，任何人都可以开始创建各种证书。但在这种情况下，他们还必须在我的服务器上安装证书并配置 saml 应用程序以使用它们。只有这样他们才能开始生成虚假的 saml 请求和对我的应用程序的响应。

如果这是唯一的问题，那么这个解决方案（在生产中使用自制证书）仍然会比我们今天的登录设置更好。

是否可以在 SAML 身份验证请求中发送属性？

我们正在尝试使用从 STS 发出的 SAML 令牌让 WCF 和 Java 相互通信。尽管双方都符合标准，WS-Security、WS-Trust、WS-Policy 等，但它们似乎并不相互交流，并且其中一方会抛出神秘异常或忽略安全标头.

我们在 MS 端使用 .NET 3.5、WCF 联合绑定，在 java 端使用 Axis2/Rampart/Rahas。

有没有人能够完成这项工作？

SAML SSO 通常是如何实现的？

我已经阅读了这篇（nb obsolete）关于将 SAML 与 Google Apps 一起使用的内容，以及关于SAML的维基百科条目。

维基百科条目讨论了使用包含 SAMLRequest 和 SAMLResponse 详细信息的表单进行响应。这是否意味着用户必须亲自提交表单才能继续进行单点登录？

谷歌条目谈到使用重定向，这对我来说似乎更无意义。然而，它也谈到了使用表单作为用户必须提交的响应（尽管它确实谈到了使用 JavaScript 自动提交表单）。

这是这样做的标准方式吗？使用重定向和 JavaScript 提交表单？

有谁知道有关如何在 Windows 域和 J2EE Web 应用程序之间实现 SSO 的任何其他好的资源。Web 应用程序位于单独的网络/域上。我的客户想要使用CA Siteminder（带有 SAML）。

目前，XACML 规范为请求/响应定义了一个协议，但对于如何将其集成到企业应用程序中则留待解释。我相信除非创建一个新的开源项目，尝试围绕一组通用 API 进行开发/标准化，否则 XACML 的价值将无法实现。

对于那些熟悉 XACML 的人，我很想了解他们对创建这样一个项目的第一反应，他们是否愿意做出贡献以及他们认为 XACML API 会是什么样子？

我提议使用 SAML 1.1 作为在客户环境中证明 Web SSO 的技术，他们问了我一些有趣的问题：

哪个场景浏览器/POST 配置文件是合适的，哪些场景浏览器/SAML 的工件配置文件是合适的？

事实上，SAML 1.1 规范并没有谈论两种浏览器配置文件的最佳或最合适的方案。

也许每个人的安全威胁都可以用来挑选最好的。在我看来，到目前为止，两者都可以平等地应用于任何场景。

*注意：该解决方案使用 Weblogic Server 10.0 及其对 SAML 1.1 的支持。

我们正在考虑为合作伙伴公司提供 SSO，以便他们无需单独登录即可访问我们的网站。合作伙伴公司已经在其内部网以及其他合作伙伴中实施了 SSO。我们只需要能够接收 SAML 令牌并确认它们是有效的（可以使用 Browser/Post pr Browser/Artifact 配置文件）。我们不需要为我们的域用户实施 SSO。

问题：是否值得/可能实现一个服务（usng WCF？）来接收和处理这些由第三方发布的令牌，或者我们是否需要在我们这边实现一个供应商应用程序（如 SiteMinder、PingFederate 等）甚至是能够在该联盟中充当依赖方。

我有一个 python 脚本，可以连接 gmail 帐户并允许搜索等。这适用于普通电子邮件（以@gmail.com 结尾），但不适用于域帐户。在这种情况下，身份验证是通过 SAML 完成的，并且在 gmail 域帐户上启用了 IMAP...

谷歌关于如何配置 IMAP 的说明似乎只适用于@gmail.com 帐户......

我已经尝试使用用户 user@admin 并使用主机 imap.gmail.com 以及我的域的电子邮件对 IMAP 进行身份验证，但身份验证不起作用....

1. 是否有来自 gmail 的特定“主机”用于域帐户？
2. 在 gmail 域帐户上获取 imap 的其他方法？

谢谢，鲁道夫

我有几个 Web 应用程序都在 WebLogic 10 中运行，我想使用 SSO 和 WebLogic 的内置 SAML 2 SSO 支持对用户进行身份验证。
我在安全领域配置了一个 SAML2IdentityAsserter，并创建了一个 Web SSO 身份提供者合作伙伴，该合作伙伴使用来自我之前设置的身份提供者的元数据。这一切似乎都很顺利。
我部署了一个用于测试的简单 Web 应用程序，该应用程序配置为使用此领域。但是，当我尝试登录网络应用程序时，它似乎甚至没有尝试使用身份提供者。我将 BASIC 和 CLIENT-CERT 都设置为，但两者都表现得好像没有设置 SAM2IdentityAsserter。我尝试更改断言器的顺序并尝试删除默认断言器，但这些都没有产生任何影响。有没有人在 WLS 10.3 下成功做到这一点？

我们正在考虑将 spring-ws 作为实现将部署在 weblogic 上的 web 服务的平台。我们需要将 WS-Security 与我们的身份管理平台 (TFIM) 发布的 SAML 令牌一起使用。

XwsSecurityInterceptor 的 Spring-ws 文档没有提到 SAML，我不清楚是否可以在这种情况下工作。

我想替代方案可能是做我们自己的拦截器，它使用 OpenSAML 或以某种方式利用 weblogic 中的 SAML 支持。

这个事情谁有经验？以已知可行的解决方案为目标会很好。