问题标签 [sustainsys-saml2]

有没有人使用Kentor/SustainsysAuthServices 进行范围界定？

发布历史https://github.com/Sustainsys/Saml2/releases指出版本 v0.18.0 支持范围，确实似乎有一些范围类，但它们似乎没有被使用。

具体来说，Saml2AuthenticationRequest实例的创建不包括任何地方的范围。

我在这里错过了什么吗？有没有办法通过 web.config 中的配置来实现这一点，或者代码还没有准备好进行范围界定？

我正在尝试使用 AuthServices MVC 包添加SAML2到现有MVC项目以SSO支持SP.

我有一个使用 IdentityServer4 的 MVC 应用程序。在 IdentityServer4 中，我将 SAML2 (SustainSys.SAML2) 注册为外部登录提供程序。和登录工作正常。

当用户注销 MVC 应用程序时，它会从 MVC 应用程序注销，但不会触发外部登录提供程序的注销。我检查了我的身份服务器的 LogOut 方法，该方法重定向到外部身份验证方案。但重定向不会发生。

这是我为 SAML 注册外部身份提供程序的代码。我使用了 SustainSys SAML 的 Nuget 包。

不知道我在这里错过了什么。感谢任何帮助。

我正在使用身份服务器 4 对我的 ASP.Net Core 解决方案进行身份验证。它与 Facebook、Google 和其他外部身份提供商合作良好。现在我正在尝试使用来自https://github.com/Sustainsys/Saml2的 Sustainsys.Saml2 将 SAML 2.0 身份验证添加到身份服务器，并使其作为外部身份提供者工作。（我们网站的客户希望使用我们的身份服务器使用他们的 SAML 身份提供者登录，就像他们可以通过 Facebook、Google 等登录一样）

而我现在拥有的是

1. 登录网址 - https://sso.domain.com/saml/idp/profile/redirectorpost/sso

2. 退出 URL - https://sso.domain.com/saml/idp/profile/post/sls

3. 我们客户的基于 SAML 的身份提供者的 CRT 证书。

但是，我在身份服务器 4 startup.cs 文件中找不到描述如何设置 SAML 2.0 配置的文档。我认为配置应如下所示，基于可用的示例： https ://github.com/Sustainsys/Saml2/blob/master/Samples/SampleAspNetCore2ApplicationNETFramework/Startup.cs

在示例中有两个 url

1. https://localhost:44342/Saml2

2. http://localhost:52071/元数据

这些代表什么？

有人可以告诉我如何在身份服务器 4 中设置 SAML2 的所有选项吗？

我正在将 Sustainsys Saml2 与 Identity Server 4 一起使用。客户问我是否支持支持 SAML 单一注销。

他们要求：

1. 单次注销请求 URL
2. 单次注销响应 URL

据我所知，鉴于存在以下属性，Sustainsys 可能支持这一点。

我有两个问题：

1. 我只能看到一个与他们的请求匹配的属性 - SingleLogoutServiceResponseUrl（我没有看到 SingleLogoutService请求URL 的属性）。如何配置单点注销请求 URL？
2. 我如何确定这些 Url 的值是什么？

谢谢

我正在尝试使用 ADFS 和 SAML2.0 在我们的 Web 应用程序中实现 SSO。我使用 Windows Server 2012 r2 作为我的 adfs 环境。Web 应用程序也在相同的环境中。

到目前为止，当我运行应用程序时，我被定向到主登录页面，我可以选择使用 sso 登录。单击 sso 选项后，我被重定向到 adfs 登录屏幕，当我尝试使用正确的凭据登录时，出现以下错误：

这是 web.config 的样子：

• 我正在使用带有 AspNetIdentity 的 Identity Server 4。
• 我使用 Sustainsys 添加了 SAML 身份验证提供程序。
• 我可以使用本地帐户成功登录。
• 我想将 SAML 身份验证提供程序链接到我的本地帐户。我按照流程链接外部和社交登录（正如我已成功使用 Google、Microsoft 和 Facebook 所做的那样） - 链接为https://identity.domain.com/Manage/ExternalLogins
• 我现在可以选择链接 SAML2 服务
• 我可以成功链接到外部 SSO 并进行身份验证；然后我被重定向回https://identity.domain.com/Manage/LinkLoginCallback但代码在以下点在 ManageController 中失败：

正在为 GetExternalLoginInfoAsync 返回 Null。user.Id 是正确的并且存在于数据库中。

据我所见，应该有一组已由外部 SAML 提供程序返回到的属性：

我怀疑这个问题可能与 CORS 错误有关，但是即使我根据http://docs.identityserver.io/en/上的文档在 startup.cs 中添加了以下行，我也没有成功解决此错误发布/主题/cors.html。

这是调试信息的日志：

• LinkLogin redirectUrl: /Manage/LinkLoginCallback
• AuthenticationScheme：“Identity.Application”已成功通过身份验证。
• 提取的 SAML 断言 _ea533182b0cb1781868a660af48ced3​​529d568
• AuthenticationScheme：“Identity.Application”已成功通过身份验证。
• LinkLoginCallback User.Id：a0162430-eb22-4154-bf59-0ba49bfd473d
• 成功处理 SAML 响应 _402e6060e55e8e5d3b05f52ff5e5d2d7d4d786 并认证 test@acme.com
• System.ApplicationException：为 ID 为“a0162430-eb22-4154-bf59-0ba49bfd473d”的用户加载外部登录信息时发生意外错误。
• 对路径发出的 CORS 请求：“/Saml2/Acs”来自原点：“ https://sso.acme.com ”，但由于路径不适用于允许的 IdentityServer CORS 端点而被忽略
• LinkLoginCallback 启动
• SAML2 响应的验证条件 _402e6060e55e8e5d3b05f52ff5e5d2d7d4d786
• Http POST 绑定提取消息
• Saml 响应 _402e6060e55e8e5d3b05f52ff5e5d2d7d4d786 的签名验证已通过
• AuthenticationScheme：“Identity.Application”已成功通过身份验证。

更新：-客户发回 Saml 请求说这不是对 /Saml2/ACS 的 CORS 请求，因此不明白为什么我们会收到来自 Identity Server / Sustainsy 的错误

带有 SustainSys.SAML 的 IdentityServer4 在 ExternalLoginCallback 之后丢失了原始客户端重定向。

我使用 IdentityServer4 示例应用程序作为 SustainSys.SAML netstandard 分支的指南。

我遇到的唯一问题是，当我在https://stubidp.sustainsys.com登录并重定向回我的 IdentityServer4 ExternalLoginCallback() 方法时，我丢失了原始客户端重定向（这是原始客户端的一部分）授权重定向网址。当此代码返回时：

Properties.Items 中的 returnUrl 和值是相同的，并且通过 IdentityServer /authorize 端点返回到我的客户端应用程序（Angular 应用程序）的原始 redirectUrl 已经消失。

我已经尝试过它的行为方式相同的示例应用程序。

我正在查看 Sustainsys.Saml2 示例，我发现如果我将 SampleMvcApplication 指向使用 Okta 作为 IdP，则会创建所有相关声明。但是，如果我使用 Okta 作为 SampleIdentityServer3 项目的外部 IdP，我只会看到 openid 声明。是否可以配置 IdentityServer 以将 Saml 令牌中的所有声明传递回客户端应用程序？

我有一个 .cer 文件，其中包含测试 AD FS 身份验证所需的公钥。我可以轻松地将它添加到解决方案中存在的 Web.config 中的 MVC 示例（设置signingCertificate fileName）中，它似乎可以工作，但我找不到任何添加到 AspNetCore2 项目中的方法。

我发现的最接近的是 SigningServiceCertificate 但它只有一个吸气剂，我在另一个线程中读到它应该以某种方式将公钥添加到 SigningKeys 集合中，我只是无法弄清楚如何。

谢谢！

目前，我们的 Web 应用程序正在使用 Windows 身份验证。我们需要将此集成到使用 SAML 的现有单点登录中。我正在寻找Sustainsys / Saml2将我们的网络应用程序与 SAML 集成。

我们的网站主页网址是这样的： http://siteName/Home/Index

IdP 端点： https ://providerName.com:8080/idp/start/sso.ping?PartnerSpid=mySite

当我尝试导航到 saml 单点登录并输入我的凭据时，我被重定向到我们的网站：http://siteName/Home/Index 所以我认为 saml 环境设置工作正常

我现在的问题是，当我导航到我们的网站主页时，如果用户尚未通过身份验证，我希望它首先重定向到 Idp 端点以对用户进行身份验证：https ://providerName.com:8080/idp/start/sso .ping?PartnerSpid=mySite

这是我正在尝试的当前 web.config：