问题标签 [shibboleth]

我正在开发一个必须与受 SSO Shibboleth 身份验证保护的网站进行强烈交互的 Android 项目。因此，我必须创建一个 Java 类，以便做出有效的 SAML 断言并登录网站。

我用谷歌搜索了很多，我找到了这段代码：http ://blog.keksrolle.de/2010/07/27/how-to-create-a-valid-saml-2-0-assertion-with-opensaml -for-java.html 实际上我发现它不是必需的，因为我能够通过一些 HttpConnection 请求获得 SAML 响应。

我编写的代码能够执行此列表的第 1-5 步：http ://en.wikipedia.org/wiki/Security_Assertion_Markup_Language#The_SAML_Use_Case 它所做的最后一件事是获取 SAMLResponse 参数的值，它是 base64 编码的一个元素。然后它向断言消费者服务发出一个 POST 请求。这里的伪代码：

但随后服务器的响应是 500 错误代码，或页面错误代码（“出现问题。重试。”）。事实上，我无法访问会话，即使我有一个有效的 SAML 断言并将其发送（编码）到服务器。是会话问题吗？一旦我发出 POST 请求，我认为服务器通过 cookie (JSESSIONID) 和查询字符串 (/home.do;jsessionid=XXXFAEC60AXXX7A7B9XXXAA9EXXXE71X.jvm2c) 重新连接了我，但我认为这可能完全出错了。

如何通过 Java 登录 SAML 认证网站？

另一个（边际）问题：我在没有加密（https）的情况下执行了所有请求。从安全性（数据包嗅探等）的角度来看，这可能是一个问题吗？

我正在做一个项目，该项目需要从一些受保护的网页中解析一些数据。为了访问这些页面，我必须克服 SAML 身份验证表单 (Shibboleth)。有没有人能够在 Android (Java) 中实现这个标准？我已经阅读了这个帖子：Android 的 SAML 客户端实现？ 但这并没有给我一个好的解决方案。实际上，我需要获取一些受保护网页的数据才能解析它，而不是让用户看到这些页面的内容。因此，通过 WebView 登录并不是我真正需要的。

我在 Omniauth ( https://github.com/toyokazu/omniauth-shibboleth ) 中使用 shibboleth 作为身份验证提供程序。成功登录并重定向到 rails 后，它无法创建新会话，因为它看不到任何 Shib-Session-ID 或 Shib-Application-ID。在同一台 apache 服务器上，其他 Web 应用程序（java）使用相同的 shibboleth 端点，没有任何问题。

我正在尝试在本地（本地主机上）运行的应用程序上配置 Shibboleth SSO。我已按照所有说明操作并配置了我的 shibboleth2.xml 文件，但是当访问以下链接http://127.0.0.1:8080/Shibboleth.sso/Metadata或http://127.0.0.1/Shibboleth.sso/Metadata

我也试过http://127.0.0.1/MyAppName/Shibboleth.sso/Metadata了，但也没有用！

我错过了什么吗？谁能帮我解决这个问题？

谢谢。

在配置 Shibbolet SP 时，我不得不在重新配置 shibboleth2.xml 文件后多次停止和启动 shibd 服务。首先它工作正常，但后来我无法再次启动它！

在 cmd 上运行此命令时C:\>net start shibd_default，我得到以下信息：

并尝试从 Control Panel > Services > Administrative Tools 运行它时，出现此错误

我重新安装了 Shibboleth SP 来解决这个问题，但仍然出现这个错误！

谁能帮我解决这个问题？

谢谢

我有一个使用 Shibboleth 进行身份验证的产品。

当用户在网站上发起注销时

1. Web 服务器向 Shibboleth SP 发送注销请求。
2. SP 在收到请求时删除 cookie 帖子。
3. 但是，如果用户返回网站，则不会提示登录页面

对于下面显示的配置，我使用的是这里给出的 Shibboleth 服务提供商 https://www.testshib.org/install.html#SP。它被配置为使用 testhib.org IdP 的详细信息，可以在此处阅读

我相信 IdP 不会删除其会话 cookie 并在第 3 步重新登录用户。

有关 IdP Cookie 的更多信息：

这个wiki-source声明 IdP 使用两个 cookie _idp_authn_lc_key，这些 cookie 在身份验证后被删除。第二个是会话cookie“_idp_session”，它声明：

一旦用户通过身份验证，他们将与 IdP 进行长期会话，该会话由名为 _idp_session 的 cookie 跟踪。此 cookie 仅包含识别用户的 IdP 会话所需的信息。此 cookie 创建为“会话”cookie，当浏览器选择删除此类 cookie 时（通常在浏览器关闭时）将被删除。

我的问题是

• 我需要在 SP 上进行哪些更改以请求 IdP 删除相同内容并有效地创建GLOBAL LOGOUT？

在带有 Spring Security 的 Grails 中，如何为不同的域运行不同的 Spring Security 插件？

对于控制器上的一些方法，我希望它们使用存储在我的数据库中的普通用户名/密码来保护它们。不过，对于不同的域名，我想使用另一种方法，在我的例子中是 shibboleth。

例如：如果您要访问 example.com/abc，您将被重定向到用户/通行证页面。如果您要访问与 sub.example.com/abc 相同的 web 应用程序，您将被引导通过 shibboleth 登录流程。

这个想法是支持创建帐户的用户以及使用现有第 3 方帐户进行身份验证的用户。

我是 Zend framework2 的新用户，您能否建议我如何使用 Shibboleth 对我的用户进行身份验证。

我们正在考虑将 Orchard 用于内部站点。

我们目前使用Shibboleth进行初始身份验证，它以 POST 格式返回我们的站点http://domain/Shibboleth.sso/{stuff}

在我们当前的 ASP.NET MVC 网站中，我们只需使用以下内容修改 Global.asax：

不幸的是，Orchard 不允许我们走这条路，所以经过一些研究，它看起来需要添加一个处理程序。

通过 IIS (Server 2008 R2) 这被添加到处理程序组内的 web.config 中：

我已经尝试了几种不同的变体，但仍然没有骰子。

由于无论如何我都删除了源，我尝试采用简单的方法，即添加两个routes.IgnoreRoute调用并重新构建，但这会导致相同的问题。

如果我删除 Shib 要求，那么 Orchard 就可以正常启动，并且如果我在一个新的 MVC 项目中使用 Shib（并添加了我们的两个 IgnoreRoute 调用），它也可以正常工作。

浏览器返回 404（空白页），所以我感觉 Orchard 仍在抓取请求。

关于如何让果园跳过这条路的任何建议？

在我们的 SSO 场景中，我们使用 ADFS 2.0 作为 IDP，使用 Shibboleth 作为 SP。它是由 SP 发起的登录。配置后，当我尝试在 Shibboleth 和 ADFS 2.0（抛出浏览器重定向）之间建立通信时，ADFS 2.0 抛出以下错误。

SAML 消息签名验证失败。消息发布者：http://sampleserver/adfs/services/trust 异常详细信息：MSIS1015：服务器需要签名的 SAML AuthenticationRequest 但不存在签名。

事件 ID - 320 相关事件 ID - 364

我们还没有使用任何签名。我还在ADFS 属性中将 SignedSamlRequest 设置为 false。Shibboleth 的 SAML 签名也被禁用。

除了此类错误的通用指南外，我在 Microsoft 网站上找不到任何信息。

请就此错误提出建议。