问题标签 [spring-security-saml2]

我在本地项目的 Grails 中安装了一个 SAML 插件。我可以看到从插件创建的页面，我可以在其中单击按钮进入 IDP 选择页面。但是，当我试图进入 IDP 选择页面时，它不起作用，出现一个空白屏幕，并且 IDP 页面重定向到的 URL，我猜插件中不存在。

有人可以帮我解决这个问题吗？我尝试了很多天以了解 SAML 将如何工作，但没有取得任何突破。

当我在 idp 选择选项到来之后没有安装插件时。请查看截图作为参考

但是点击idp选择选项后空白页来了。截图供参考。

是否可以开始限制某些 URL 的 SAML2 身份验证过程？所以我的想法是使用像 /saml2login 这样的 URL 来启动所有 SAML 身份验证过程。

我已经尝试过类似的东西：

但它不起作用

由于 IDP 中的 HttpServletRequest URL 和目标 URL 不匹配，OpenSamlAuthenticationProvider.validateSaml2Response 身份验证异常如下所示：

• HttpServletRequest URL 返回发出 SAML 请求的应用服务器的主机名 (localhost:port)，而不是 dns 名称。
• 我们的应用程序位于负载均衡器后面。
• 我们尝试将 proxyName 和 proxyHost 添加到 Tomcat 中的 Http 连接器。我们的协议仍然不匹配，我们不相信这是正确的方法。
• 这一定是一个常见的问题，以至于我们没有使用的 Spring SAML 扩展有一个配置类来处理这个确切的问题。
• 我认为我们不能使用拦截器，因为 HttpServletRequest URL 不可修改。

想知道是否有其他人处理过类似的事情并找到了解决方案。

我正在使用 Spring Security 4.2.13.RELEASE 和 spring-security-saml2-core 1.0.10.RELEASE。idp 是 Google（我无权访问它的配置）。

我的应用程序在类似 tomcat 的服务器上运行。在这个简短的简报之后，我的问题！

通常，用户抱怨连接问题，他们连接到他们的 idp，当他们尝试访问我的应用程序时，他们会转到错误页面。本页解释“身份验证失败：验证 SAML 消息时出错”。如果他们清空 Web 浏览器缓存，他们可以正确重定向到 idp 并连接到我的应用程序。

为什么会出现这个错误？如果他们清空缓存，似乎配置是正确的。

我已将 tomcat 的会话时间更改为与 idp 相同，我还更改了 WebSSOProfileConsumerImpl和WebSSOProfileConsumerHoKImpl的maxAuthenticationAge和maxAssertionTime但似乎问题出在此处。

我应该怎么办？

我使用此模板将 Spring Security SAML 与 Spring Boot 一起使用。然而，在我的 IDP 证书更新后，应用程序停止工作，我意识到我正在使用元数据互操作性配置文件 (MetaIOP) 进行签名验证。我相信由于我的 SP 仍在使用旧的 IDP 元数据 XML，因此签名验证失败并且我收到以下错误：

我尝试通过将签名证书导入密钥库并在配置中添加以下行来解决此问题：

和

但它似乎仍然无法使用相同的回溯。第 1 行的日志消息显示“SAML 协议消息未签名”这一事实让我更加困惑。那它为什么要评估信任呢？

我正在使用 Spring security SAML 1.0.3 Release 版本。我发现了一个问题，如果我们为 IDP 上传证书，它不会反映在 Spring SAML 中。问题似乎出 在有缓存 Map 的MetadataCredentialResolver上

它从缓存中挑选证书，因此新上传的证书被忽略。有没有办法重置缓存？

我们正在尝试在应用程序中配置多个身份提供程序以支持不同类型的 SSO。问题是对于未经身份验证的请求，应用程序不知道要重定向到哪个 IDP。我们可以根据域名确定使用哪个 IDP。这不是问题。问题是更改过滤器以重定向到该特定 IDP 而不是第一个找到的 IDP 的方式。

我想知道在 Spring Security 或其 SAML2 库中是否有一种简单的方法来支持它。

我可以以某种方式修改元数据以将其重定向到我自己的 URL（然后在那里有一些自定义代码），或者使身份验证过滤器根据某些标准选择正确的 IDP。

更新

当前 yaml 配置：

Chrome的新的默认 samesite cookie 设置，samesite=Lax，会导致SAMLException: InResponseToField of the Response doesn't correspond to sent message a21276705abadch84jbcedbd5i1g53Spring Security SAML。我认为这是因为从 IdP 返回的 POST 不包括会话 cookie。完整的堆栈跟踪如下。

关于 Spring Security 5.2+ 中的 SAML 的问题，文档暗示没有为 SP 生成元数据的端点，对吗？这似乎是文档所说的，但 URL 包含诸如“{baseUrl}/saml2/service-provider- metadata /{registrationId}”之类的内容，这给人的印象是您在该端点提供 SP。

我有一个相当大的多原则项目，我正在尝试从 spring-security-saml 迁移，该项目已停止，我正在尝试查看需要填补哪些漏洞。如果不包括元数据生成，是否有计划在不久的将来实施他们的路线图，我没有看到任何关于此的公开信息？有没有其他人想出一种使用 OpenSaml3 生成元数据的简单方法？

谢谢！

背景
我试图让一个多租户应用程序与 Spring Security SAML 一起工作，以便它可以针对多个身份提供者进行身份验证。我正在尝试使用不同的子域来解析 IdP，因此用户不必手动选择它。我的应用程序基于此示例项目。我有多个域映射到我的服务器，例如：

• auth.mycompany.com
• customer1.mycompany.com
• customer2.mycompany.com

问题
我遇到的问题是，当我导航到customer1.mycompany.com它时，它会正确解析为我的应用程序上的根路径，这需要身份验证，但我被重定向到auth.mycompany.com/saml/discovery?entityID=...&returnIDParam=idp，这会将我带到正确的控制器，但我正在丢失子域来自请求的信息，我需要解析要使用的 IdP。

如何跨 Spring Security SAML 重定向保留备用子域？

更多详细信息
这发生在本地主机上，我在/etc/hosts文件中定义了主机，无论我使用哪个主机名，它最终都被重定向到

这也发生在 AWS Elastic Beanstalk 上，我将多个 A 记录定义为同一个 Elastic Beanstalk 环境的别名。

如果我只是做错了多租户 SAML，我也愿意接受其他建议。

在此先感谢您的帮助。