问题标签 [spring-saml]

我正在尝试将Spring Security SAML Extension与Spring Boot集成。

关于这件事，我确实开发了一个完整的示例应用程序。其源代码可在 GitHub 上找到：

• GitHub 上的 spring-boot-saml-integration

通过将其作为 Spring Boot 应用程序运行（针对 SDK 内置应用程序服务器运行），WebApp 可以正常工作。

不幸的是，同样的 AuthN 过程在Undertow/WildFly上根本不起作用。

根据日志，IdP 实际执行了AuthN过程：我的自定义UserDetails实现的指令被正确执行。尽管有执行流程，但 Spring 不会为当前用户设置和保留权限。

在调试时，我发现问题依赖于FilterChainProxy类。在运行时， 的属性FILTER_APPLIED有ServletRequest一个空值，因此 Spring 清除SecurityContextHolder.

在VMware vFabric tc Sever和Tomcat上，一切正常。你对解决这个问题有什么想法吗？

我正在使用 spring security saml 扩展以 ADFS 作为 IDP 实现 SSO。

据我了解，spring security 使用 open saml 以 SHA1withRSA 作为签名算法对 SAML 请求进行签名。

我们需要更改以使用 SHA256withRSA 对 SAML 请求进行签名。

如何才能做到这一点 ？

感谢您对此的任何建议。首先十分感谢

我想知道 wso2is 有多少符合 saml2 SSO 规范。特别考虑 SingleLogoutProfile 与 POST 绑定。在一个 SP 发起注销后，IS 识别参与的 SP 也进行注销，并通过 HTTP 直接向每个 SP 发送 LogoutRequest。

下面我正在复制规范中的图像（第 1161 行）。请注意第 3 步，并注意灰色的用户代理。它是灰色的，因为 SOAP 绑定绕过用户代理并将请求直接发送到会话参与者。然而，POST 绑定应该在用户代理的参与下工作！（第 765 行）

我使用 wso2is 4.6.0，带有 spring-security-saml-extension RC2。当 spring-extension 接收到 LogoutRequest（第 3 步）时，它假定有一个登录用户，只有当 http-request 来自 user-agent 时才可以！否则，SP 必须维护某种将全局会话 ID 链接到本地​​会话 ID 的表，并在收到注销请求时查找要终止的会话。这个博客也推荐了这种方法。

因此，要么我误解了 saml2-specs，要么误解了 wso2 的人！我宁愿相信是我，所以有人请赐教！

全部，这是我的要求。

1. 我们有一个当前的 JAVA Web 应用程序，它在 Spring Security Framework 上实现了基本安全性。当用户来到我们的应用程序时，我们拥有登录页面，我们存储用户凭据，并且 Spring 框架正在调用我们的客户用户提供程序以获取所有用户详细信息。

2. 现在，我们需要与托管在不同域中的另一个 Web 应用程序进行通信。但新应用程序符合 SAML 标准，并且可以根据 SAML 令牌对用户进行身份验证。

根据我迄今为止所做的几项研究，看起来我们需要实现一个第三方身份提供软件，如 OpenAm、OpenSSO 等，并将我们当前基于 spring 的身份验证模块移动到新的 IDP 软件，然后与其他软件集成用于 SAML 传输的应用程序。

相反，我想知道是否有一种简单的方法可以让我的应用程序作为身份提供者并直接从我们的 APP 传递 SAML，而不是依赖于第 3 方 IDP S/W。

Spring Security SAML Extension 似乎完成了这项工作，我很兴奋。但是，如果我阅读更多详细信息，我会发现即使是 Spring SAML Extension 也需要外部 IDP 软件来完成其工作。

问题是，有没有人在没有外部 IDP 软件的情况下使用 SPRING SAML EXTENSION。有没有其他方法可以实现我的上述要求。

我正在尝试使用配置 SAML 身份验证Spring's SAML extension。在使用注释方式尝试时Java Configuration。我需要获取IDP metadata file和SP metadata file来创建metadataManagerbean。

下面是相关配置：

我的问题是我无法在此处获取文件内容。和spMetadataFile为idpMetadataFile空。如果存储在项目的类路径中，我不确定如何注入或获取旧的这些文件。

请帮忙。

我正在尝试配置几个 Spring 和 Grails 应用程序以使用 Spring Security SAML，但我找不到好的教程。谁能指出我正确的方向？

我在 Windows 平台上的 Tomcat 7 上为 SP 使用 Spring Security SAML 2.0。我针对在 Unix 上运行的 IDP 进行身份验证。

对 IDP 的 SAML 请求的证书部分是在每行的末尾添加 ^M 个字符。我们的 windows 文件中的回车在 Unix 上显示为“^M”。我删除了 SP 元数据 xml 中的回车符，但在 Unix 中我们仍然得到 ^M。

谢谢

我正在编写几个基于 spring security 和 spring security saml extension (RC2) 的 Web 应用程序。

我以基本方式与多个服务提供者和一个身份提供者合作（基于 spring saml 文档中定义的示例）单点登录。

当用户访问 SP 上的受保护资源时，他会被转发到 IDP 上的受保护资源。所以因为用户还没有登录，他们被重定向到登录页面（标准的弹簧安全的东西）。登录后，播放原始请求并完成 authNRequest/Response，并将用户重定向到原始安全资源。

我现在有一个要求，确保所有服务提供者必须在每个请求之前询问身份提供者用户是否登录（而不是在 SP 本地进行）。

据我了解，在每个请求期间都会存储和查询本地 (SP) 和远程 (IDP) 安全上下文，如果没有有效的上下文，则将用户转发给身份提供者以通过身份验证过程。

所以我的问题是，有没有一种方法可以在 SP 端配置 saml/spring 安全性以始终“ping”或要求 IDP 检查当前用户是否已登录，或者这种事情是否不必要/不受支持。

提前致谢

我已成功测试 Spring Saml 示例以针对 SSO Circle 进行验证。我想将 IDP 更改为 Ping，并按照这篇文章使用 PingFederate 为 SSO 配置 Spring SAML中提到的步骤进行操作

成功登录后，我将返回到 server/saml-sample/saml/discovery/alias/defaultAlias?entityID=entity id 的发现页面

我期待看到从 Ping 发回的信息，例如一般信息、校长的属性、主题确认等。我错过了什么。

感谢这方面的任何帮助，因为可用的信息很少。

更新：共享日志文件

日志太长，此处无法粘贴。我已经上传到Dropbox

https://www.dropbox.com/s/fe0y252ypnqa2m7/log.txt

谢谢

我们有使用 spring saml auth 的应用程序，结合 VMWare Horizo​​n。我们已成功使用该应用程序，但在迁移到新的 Horizo​​n Workspace 2.0 时出现了问题。

下面是来自 catalina.out 的调试日志。我所看到的只是 SAML 无效，但不明白为什么。

在 Horizo​​n 日志中，我看到一个错误，不确定这是否相关：

我们已经在托管我们的 SP 的 tomcat java keystone 中安装了 Horizo​​n 证书，但没有效果。任何帮助表示赞赏。