问题标签 [spring-saml]

我有问题，因为我正在为用 EJB3 编写的应用程序创建 Spring Security 过滤器。我为这个应用程序添加了弹簧安全过滤器链。我从 spring-security-saml2-sample.war 获得了配置。它工作正常，但我遇到了 metadata.xml 文件的问题，该文件在加载每个页面时都会生成。问题是 - 如何在 ADFS 2.0 服务器上导出这个 xml 文件，IDP（ADFS 2.0 服务器）会看到。本节需要此元数据文件：

单击元数据信息，在服务提供商列表中选择具有您的服务器名称的项目

将 Metadata 字段的内容存储到文档 metadata.xml 并上传到 AD FS 服务器

在 AD FS 2.0 管理控制台中选择“添加信赖方信任”

选择“从文件中导入有关依赖方的数据”并选择之前创建的文件，选择下一步

我知道在示例应用程序中，我们有接口为我们的服务提供商生成此元数据，但问题在于，在我的应用程序中我没有此 IDP 选择器 - 我正在使用与默认 IDP 的连接。所以，我没有可能导出 xml。

有没有办法解决这个问题？

非常感谢；）马修

编辑：

我的 metadataGeneratorFilter 配置：

我有带有弹簧安全 SAML 过滤器的应用程序。有 ADFS 2.0 的配置。服务器站在域外的机器上。我尝试使用用户的域帐户登录我的应用程序（但显示输入域用户主体的窗口）。是否有可能将其配置为自动登录我们在 Windows 上登录的域用户的用户？

感谢日志。

我正在尝试基于“spring-security-saml2-sample”设置 SP，但是当我在 Tomcat 上部署 WAR 文件时，出现以下异常：

我了解该异常是由于 IdP (Oracle OIF) 自签名证书未正确导入密钥库而引起的。联合 URL 受 SSL 保护，因此我已将 SSL 证书包含在密钥库 (samlKeystore.jks) 中。我还包括了用于签署 SAML 断言响应的 OIF 证书。

这是我正在尝试的securityContext.xml：

我想 IdP 元数据服务的 SSL 证书必须添加到 samlKeystore.jks，对吗？处理 SSL 是否需要任何额外的配置？

非常感谢您，

丹尼尔。

为了在我的 web 应用程序中支持SSO和SLO，我使用Spring Security SAML Extension实现了一个服务提供者。

代码在GitHub上可用：vdenotaris/spring-boot-saml。

通过使用SSOCircle作为身份提供者一切正常。

现在，我正在尝试基于Simple SAML链接另一个 IdP ，在这种情况下 SSO 失败。

分析我的应用程序服务器（Apache Tomcat 7.0.54）上的日志，我发现了这些错误：

有没有办法解决这个问题？

问候，V。

春季调试日志：

Tomcat 服务器.xml

我已经使用 Spring SAML 实现了 SSO，并且与 idp.ssocircle.com 的交互一切正常。

现在我正在尝试使用另一个身份提供者。我已经下载了 IdP 的元数据并将其链接到我的 spring XML 配置中。我还将服务提供商的元数据上传到 iDP 并将其链接到 spring XML 配置中。

我被重定向到 IdP 的登录页面，并且可以成功输入我的凭据。但是会出现这样的错误“签名没有针对凭证的密钥进行验证”。

还有另一个 stackoverflow 帖子描述了一个类似的问题，请参阅“HTTP 状态 401 - 身份验证失败：传入的 SAML 消息无效”，使用 Salesforce 作为 IdP 来实施 SSO

但是我在遵循解决方案时遇到了问题，因为 Fiddler 捕获的我的 SAML 响应不包含像“X509Certificate”这样的元素。

编辑（！）：但我不得不说，我的身份提供者的元数据包含像“ds：keyInfo”中的“ds：X509Certificate”这样的元素，其中包含一些内容。但是还有另一个空的“ds:keyInfo”-Element 和一个空的“ds:X509Data”-Element。

身份提供者的配置有问题吗？

谁能告诉我这里发生了什么？

完整的日志文件：https ://drive.google.com/file/d/0B3RlRCEjz-cvZGQ5aldzaUc0blE/edit?usp=sharing

提前致谢，

和我

通常我的基于Spring SAML的服务提供者 (SP)实现工作正常，但有时它会返回此错误：

我在启用SSL的Tomcat 7上使用（作为Spring Security的默认设置）HTTP Strict Transport Security (HSTS) 。

有没有办法解决这个错误？

注意：示例源代码在Github上：vdenotaris/spring-boot-security-saml-sample。

默认情况下，Spring Security SAML扩展提供对 SAML 2.0 规范的支持。为了支持与不支持该版本规范的第三方提供商的集成，我需要能够将我的请求更改为 SAML 1.1。

Spring Security SAML 中是否有任何设置允许指定要使用的版本？

我通读了这些，但可能错过了：

• 参考文档
• API 文档

我假设它会自动从远程服务元数据 XML 中获取信息。但是，由于我需要与之集成的第三方提供商设置的限制，我不能严格依赖它。

谢谢！

我正在配置一个 saml 应用程序，它将接收来自 adfs 的请求。我想使用自定义 URL 来接收请求。这是我的配置：

我遇到的问题是： Endpoint with message binding urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST and filter URL /auth.htm was not found

当我单步执行 SAMLUtil.getEndpoint 中的代码时，看起来应该匹配的端点正在使用位置：https ://www.wigitsrus.com/wigit/saml/SSO/alias/defaultAlias

如何设置 post 端点使用的 location 属性，使其与 requestURL 匹配？

我有一个 Spring 应用程序已经使用 Spring 安全性和本地用户存储。我还想通过 SAML 断言允许 IDP 登录，但仅适用于已经在我的应用程序中拥有帐户的人。

1) 我可以配置 spring security 以选择使用 SAML 身份验证提供程序或 LDAP 身份验证提供程序吗？2) 当某人通过 SAML 进行身份验证时，我可以使用来自本地用户存储的信息填充他们的会话原则吗？3）最后，我可以通过Spring配置来做到这一点，还是我需要以编程方式做到这一点？

我的问题如下：

将 Spring Security SAML 项目带入官方 1.0 版本需要什么，我们有什么可以提供帮助的吗？

这个非常有用的框架，我已经非常成功地用于在应用程序中启用基于 SAML 的 SSO，但仍然没有看到正式的 1.0 版本。我很想看到它的官方 GA 版本。我在某处读到创作者没有时间完成它。这是一个真正的耻辱。也许我们可以帮助完成它？