问题标签 [saml]

我正在为充当身份提供者的客户提供 SSO 解决方案。他已经有 Siteminder 来生成 SAML 1.1 断言，其中用户 ID 和时间戳作为参数。我们的任务是接受这个已签名的断言，对其进行解密并将其发送给我们已有的身份验证器。身份验证器验证信息并允许访问我们的应用程序。在这里，我们充当服务提供者。

我是 SAML 的新手，不知道如何将 SAML 集成到我们当前的 ASP 登录页面。你能帮助我如何接受来自 Idp 的这些断言请求吗？他们正在使用 SAML/POST 配置文件。

谢谢大王

我想在 JBossAS 中使用 SAML 令牌实现 SSO。

场景如下。

1. 我有 2 个应用程序 app1 和 app2 在 2 个 JBoss 实例上运行。
2. 登录到 app1 并使用基于表单的身份验证输入用户名/密码。
3. 登录后，单击应重定向到 app2 页面的链接。
4. 这应该在 JBossAS 上使用带有 SAML 令牌的 SSO 来对用户进行身份验证和授权。

谁能让我知道该怎么做？

我正在寻找一种非常简单快捷的方法来生成一些 SAML 断言。这只会用于测试（使用 SOAP UI）。所以我只需要一些可以生成有效断言（签名或未签名）的东西，然后我可以将其放入 SOAPUI 并发送到我的 Web 服务。我知道如何将断言添加到 SOAP 消息和所有其他好东西，我只需要一些有效的测试断言。

有任何想法吗？

谢谢。

我有一个 Drupal 站点，我正在为一个客户挺身而出。我被要求在使用 SAML2 时使用单点登录（我将是服务提供者，我的客户将是身份提供者）。

到目前为止，我发现的最好的事情是

SimpleSAMLPHP https://ow.feide.no/simplesamlphp:drupal

或者

Shibboleth—— http ://drupal.org/project/shib_auth

从这些文档中看，Shibboleth 模块可能更领先，但我不确定您是否可以将 Shibboleth 连接到 SAML。你可以吗？或者您是否需要连接到 Shibboleth 身份提供者？

SimpleSAML 模块看起来不错，但它似乎需要我不想使用的 memcache。

谢谢！

官方 Web 代理用户文档未说明支持的 SAML 版本。我正在尝试将此与未运行 Sun 的 OpenSSO 策略服务器的策略服务器集成，因此我唯一的要求是支持 SAML 2.0。有没有人有过这种设置的经验？

我已经实现了一个 SAML 服务提供者来支持 ASP.Net 门户网站的单点登录，这是一个在客户端站点上配置的收缩包装软件，并且必须能够与任何符合 SAML 的身份提供者进行交互。

我的断言消费者服务 (ACS) 页面将通过 GET 和 POST 方法接受 SAML 响应。

据我了解 SAML 协议，SAML Request ProtocolBinding属性指定响应支持哪些协议。目前，我的请求指定了 HTTP 重定向绑定。但是，我想声明我支持HTTP-Redirect (GET) 和HTTP-POST (POST)。在搜索了比我想重申的更多的 SAML 文档后，我找不到用于声明多个受支持的协议绑定的语法（或者这样做是否有效）。

虽然我可以使此声明可配置，但我的偏好是声明这两个绑定，以便身份提供者无需额外配置我的门户即可工作。

以下是我的身份验证请求的示例。请，如果有人知道为 ProtocolBinding 声明 HTTP-Redirect 和 HTTP-POST 的方法，我将非常感谢您的输入！

提前感谢任何可以提供帮助的人！

在工作中，我们有一个 Web 应用程序，我们需要使用 SAML 验证的单点登录与另一家公司的 Web 应用程序交互。我们的 Web 应用程序是用 PHP 编写的，显然与其他公司使用的语言选择无关。尽管如此，我需要编写一个简单的 API，这家其他公司可以使用 SAML 请求向其发送 SOAP 请求，并生成回 SAML 响应。我一直从头开始编写它，原因有三个：1)即使我想要一个用 PHP 编写的 SAML 交互，似乎也没有很多选择，2)它限制了添加另外三分之一所涉及的开销- 派对组件，以及3)从头开始创建东西通常会让我有更好的理解，并使我更有能力在未来需要时适应这些东西。

无论如何，总的来说，我对 SAML、SOAP 和 XML 标准还很陌生，所以我一直在自学。对于我们的目的，我已经获得了非常完整的 API，除了另一家公司指定我们的响应将需要使用证书进行数字签名（并且我们收到的请求也将类似地进行数字签名）。所以我一直在试图弄清楚如何处理/生成 XML 签名，但老实说，这有点令人困惑，因为 W3C 规范并不是很容易阅读。

OASIS 安全标记语言 (SAML) V1.1文档的断言和协议的第 5.4.8 节（我一直在关闭的文档，因为另一家公司说他们将使用 v1.1）包括一个示例包含签名断言的签名响应，我将在此处包含它以供参考：

那么我如何生成这样的东西呢？如果我收到这样的东西，我该如何验证它？<ds:Signature>此外，任何人都可以提供这里标签的基本概念概述吗？似乎有两个<ds:Signature>标签，一个在 main<Response>中，一个在 中<Assertion>，每个标签都包含自己的<ds:DigestValue>,<ds:SignatureValue>和<ds:X509Certificate>（并且每个标签都不同）。这些是如何产生的？您可以对此有所了解的任何信息将不胜感激。教程或代码示例将更加感激！但在这一点上，如果你能让我走上正轨，这就是我真正想要的。现在，这一切对我来说仍然像是一个大黑匣子。

顺便说一句，如果这有帮助，它在 SAML 1.1 规范的其他地方说，SAML 实现应该只使用“Exclusive Canonicalization”方法（Excl-C14N）并且应该只使用“envelope transform”。我仍然不完全确定这意味着什么。

供应商使用 Ping Federate 进行基于 SAML 的单点登录。我有一些实现基本身份提供者的自定义 SAML 2.0 代码。我正在使用 URL 和 HTTP Post 执行 IDP 发起的 SSO。PF 服务提供商位于https://domain/sp/startSSO.ping。我应该在 PF 服务器上发布我的响应（断言）到哪个 URL？

我认为我需要的 URL 的正式名称是断言消费者服务 (ACS) 端点。

我是 SAML 的新手。我的问题很简单：

收到 SAML 请求后，IdP 通常会做什么？

我猜他们首先解析 XML——然后呢？谁能描述一下步骤？我指的是每个 IdP 至少必须执行的常见步骤。

我正在开始为项目添加 SAML SSO 支持，并且正在寻找专门针对 PHP 的任何有用资源。我了解基本概念，并且已经四处寻找任何可以提供帮助但空无一物的库。我发现的唯一东西是simpleSAMLphp，它似乎是一个完整的堆栈。

将 SAML 集成到现有项目中的任何提示？Zend-Framework 相关建议的奖励积分！