问题标签 [shibboleth]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
2004 浏览

java - 如何通过有效的 SAML 2.0 断言登录?

我正在开发一个必须与受 SSO Shibboleth 身份验证保护的网站进行强烈交互的 Android 项目。因此,我必须创建一个 Java 类,以便做出有效的 SAML 断言并登录网站。

我用谷歌搜索了很多,我找到了这段代码:http ://blog.keksrolle.de/2010/07/27/how-to-create-a-valid-saml-2-0-assertion-with-opensaml -for-java.html 实际上我发现它不是必需的,因为我能够通过一些 HttpConnection 请求获得 SAML 响应。

我编写的代码能够执行此列表的第 1-5 步:http ://en.wikipedia.org/wiki/Security_Assertion_Markup_Language#The_SAML_Use_Case 它所做的最后一件事是获取 SAMLResponse 参数的值,它是 base64 编码的一个元素。然后它向断言消费者服务发出一个 POST 请求。这里的伪代码

但随后服务器的响应是 500 错误代码,或页面错误代码(“出现问题。重试。”)。事实上,我无法访问会话,即使我有一个有效的 SAML 断言并将其发送(编码)到服务器。是会话问题吗?一旦我发出 POST 请求,我认为服务器通过 cookie (JSESSIONID) 和查询字符串 (/home.do;jsessionid=XXXFAEC60AXXX7A7B9XXXAA9EXXXE71X.jvm2c) 重新连接了我,但我认为这可能完全出错了。

如何通过 Java 登录 SAML 认证网站?

另一个(边际)问题:我在没有加密(https)的情况下执行了所有请求。从安全性(数据包嗅探等)的角度来看,这可能是一个问题吗?

0 投票
2 回答
1581 浏览

java - 适用于 Android 的 SAML 客户端?

我正在做一个项目,该项目需要从一些受保护的网页中解析一些数据。为了访问这些页面,我必须克服 SAML 身份验证表单 (Shibboleth)。有没有人能够在 Android (Java) 中实现这个标准?我已经阅读了这个帖子:Android 的 SAML 客户端实现? 但这并没有给我一个好的解决方案。实际上,我需要获取一些受保护网页的数据才能解析它,而不是让用户看到这些页面的内容。因此,通过 WebView 登录并不是我真正需要的。

0 投票
1 回答
1117 浏览

ruby-on-rails - 使用 Omniauth 和 Shibboleth 的 Rails

我在 Omniauth ( https://github.com/toyokazu/omniauth-shibboleth ) 中使用 shibboleth 作为身份验证提供程序。成功登录并重定向到 rails 后,它无法创建新会话,因为它看不到任何 Shib-Session-ID 或 Shib-Application-ID。在同一台 apache 服务器上,其他 Web 应用程序(java)使用相同的 shibboleth 端点,没有任何问题。

0 投票
2 回答
11363 浏览

metadata - 生成 Shibboleth SP 元数据

我正在尝试在本地(本地主机上)运行的应用程序上配置 Shibboleth SSO。我已按照所有说明操作并配置了我的 shibboleth2.xml 文件,但是当访问以下链接http://127.0.0.1:8080/Shibboleth.sso/Metadatahttp://127.0.0.1/Shibboleth.sso/Metadata

我也试过http://127.0.0.1/MyAppName/Shibboleth.sso/Metadata了,但也没有用!

我错过了什么吗?谁能帮我解决这个问题?

谢谢。

0 投票
1 回答
2690 浏览

shibboleth - shibd_Default 服务无法启动

在配置 Shibbolet SP 时,我不得不在重新配置 shibboleth2.xml 文件后多次停止和启动 shibd 服务。首先它工作正常,但后来我无法再次启动它!

在 cmd 上运行此命令时C:\>net start shibd_default,我得到以下信息:

并尝试从 Control Panel > Services > Administrative Tools 运行它时,出现此错误

我重新安装了 Shibboleth SP 来解决这个问题,但仍然出现这个错误!

谁能帮我解决这个问题?

谢谢

0 投票
1 回答
5974 浏览

authentication - 通过删除 IDP cookie 在 Shibboleth 中使用全局注销

我有一个使用 Shibboleth 进行身份验证的产品。

当用户在网站上发起注销时

  1. Web 服务器向 Shibboleth SP 发送注销请求。
  2. SP 在收到请求时删除 cookie 帖子。
  3. 但是,如果用户返回网站,则不会提示登录页面

对于下面显示的配置,我使用的是这里给出的 Shibboleth 服务提供商 https://www.testshib.org/install.html#SP。它被配置为使用 testhib.org IdP 的详细信息,可以在此处阅读

Shibboleth 注销

我相信 IdP 不会删除其会话 cookie 并在第 3 步重新登录用户。

有关 IdP Cookie 的更多信息:

这个wiki-source声明 IdP 使用两个 cookie _idp_authn_lc_key,这些 cookie 在身份验证后被删除。第二个是会话cookie“_idp_session”,它声明:

一旦用户通过身份验证,他们将与 IdP 进行长期会话,该会话由名为 _idp_session 的 cookie 跟踪。此 cookie 仅包含识别用户的 IdP 会话所需的信息。此 cookie 创建为“会话”cookie,当浏览器选择删除此类 cookie 时(通常在浏览器关闭时)将被删除。

我的问题是

  • 我需要在 SP 上进行哪些更改以请求 IdP 删除相同内容并有效地创建GLOBAL LOGOUT
0 投票
1 回答
239 浏览

grails - 使用 Spring Security 的 Grails 中的多个安全提供程序

在带有 Spring Security 的 Grails 中,如何为不同的域运行不同的 Spring Security 插件?

对于控制器上的一些方法,我希望它们使用存储在我的数据库中的普通用户名/密码来保护它们。不过,对于不同的域名,我想使用另一种方法,在我的例子中是 shibboleth。

例如:如果您要访问 example.com/abc,您将被重定向到用户/通行证页面。如果您要访问与 sub.example.com/abc 相同的 web 应用程序,您将被引导通过 shibboleth 登录流程。

这个想法是支持创建帐户的用户以及使用现有第 3 方帐户进行身份验证的用户。

0 投票
1 回答
211 浏览

zend-framework2 - zend framework2 Shibboleth 适配器 - 如何设置适配器

我是 Zend framework2 的新用户,您能否建议我如何使用 Shibboleth 对我的用户进行身份验证。

0 投票
1 回答
489 浏览

orchardcms - Orchard CMS 和 Shibboleth 身份验证

我们正在考虑将 Orchard 用于内部站点。

我们目前使用Shibboleth进行初始身份验证,它以 POST 格式返回我们的站点http://domain/Shibboleth.sso/{stuff}

在我们当前的 ASP.NET MVC 网站中,我们只需使用以下内容修改 Global.asax:

不幸的是,Orchard 不允许我们走这条路,所以经过一些研究,它看起来需要添加一个处理程序。

通过 IIS (Server 2008 R2) 这被添加到处理程序组内的 web.config 中:

我已经尝试了几种不同的变体,但仍然没有骰子。

由于无论如何我都删除了源,我尝试采用简单的方法,即添加两个routes.IgnoreRoute调用并重新构建,但这会导致相同的问题。

如果我删除 Shib 要求,那么 Orchard 就可以正常启动,并且如果我在一个新的 MVC 项目中使用 Shib(并添加了我们的两个 IgnoreRoute 调用),它也可以正常工作。

浏览器返回 404(空白页),所以我感觉 Orchard 仍在抓取请求。

关于如何让果园跳过这条路的任何建议?

0 投票
1 回答
2484 浏览

single-sign-on - ADFS 2.0 中的 SAML 2 签名错误

在我们的 SSO 场景中,我们使用 ADFS 2.0 作为 IDP,使用 Shibboleth 作为 SP。它是由 SP 发起的登录。配置后,当我尝试在 Shibboleth 和 ADFS 2.0(抛出浏览器重定向)之间建立通信时,ADFS 2.0 抛出以下错误。

SAML 消息签名验证失败。消息发布者:http://sampleserver/adfs/services/trust 异常详细信息:MSIS1015:服务器需要签名的 SAML AuthenticationRequest 但不存在签名。

事件 ID - 320 相关事件 ID - 364

我们还没有使用任何签名。我还在ADFS 属性中将 SignedSamlRequest 设置为 false。Shibboleth 的 SAML 签名也被禁用。

除了此类错误的通用指南外,我在 Microsoft 网站上找不到任何信息。

请就此错误提出建议。