问题标签 [sustainsys-saml2]

我应该说我刚刚开始探索 SAML 身份验证并遇到了身份验证问题，不幸的是我无法在我的开发机器上重现，这让我更加困惑。

我使用 OWIN 进行以下配置：

services变量包含配置，例如元数据 uri、sso uri 等。

此配置在我的机器上完美运行。我检查了登录 SAML 请求，这就是我所拥有的：

然后身份验证工作正常。

当我将此代码部署到外部服务器以进行测试时，有时它会按预期工作，但我经常无法对用户进行身份验证，因为身份验证机制使用 http-redirect 而不是 http-post。

在这种情况下，我看到以下登录 SAML 请求：

用于身份验证的 SSO uri 的差异。

到目前为止，我所做的是检查配置文件以消除配置问题。所有配置都是有效的，并且services.IdentityProviderConfiguration.SingleSignOnUri包含带有 http-post 的有效 SSO uri。我已经尝试过不同的设置，正如您在代码片段中看到的那样，我将 Binding 设置为 HttpPost，我认为如果SingleSignOnServiceUrl从 IDP 元数据中自动获取，我认为应该可以解决我的问题。我还查看了sustainsys.SAML2 源代码，但找不到任何可以给我线索的东西。

任何帮助都非常感谢！

我正在使用 SustainSys.Saml2 在我的组织内部充当 IdP 的应用程序中生成 SAMLResponse。

该库完全有能力签署整个响应；效果很好。

我有一个我无法控制的新 SP，它绝对需要对断言进行签名。但是，我找不到在图书馆内发生这种情况的方法。当我调用 Saml2Response 构造函数，然后将其绑定到 Post 绑定时，整个响应都已签名，但我找不到对各个断言进行签名的方法。我查阅了这里的文档、问题和答案，并且相当广泛地浏览了代码，但找不到任何证据表明支持这种相当普遍的 SAML 使用模式。

有没有人成功地让这个工作？

我有使用 ASP.NET Identity 进行身份管理的 IdentityServer4 项目。配置为使用外部身份提供者的身份验证：

• AddOpenIdConnect - 对于 openid 连接兼容的提供程序，
• AddSaml2 - 对于 saml 兼容的（我正在使用 Sustainsys.Saml2 库，https://github.com/Sustainsys/Saml2）

我正在尝试通过 UI 完成外部身份提供者的动态配置。我在 github 线程（https://github.com/IdentityServer/IdentityServer4/issues/2366）上发现了一个类似问题的提及。

有没有人尝试完成类似的事情，是否有任何陷阱？任何帮助表示赞赏！

我想使用基于 Owin 的 SAML2 身份验证，而无需“硬编码”任何数据。我有来自 IdP 所有者的元数据文件。有什么办法，如何只加载这个文件（或指向带有元数据的 url）并让提供者初始化自己？

如何从元数据中获取 XXXXXXXXX 值？

我有一个 ASP.NET MVC 5 应用程序，需要支持 SAML 2.0 身份验证。我正在评估Sustainsys.Saml.Mvc。我的控制器中的User.Identity.Name属性是一个空字符串，而User.Identity.IsAuthenticated属性是true，并且我一生都无法弄清楚。

在安装 Sustainsys.Saml2.Mvc NuGet 包时，我必须做以下事情：

1. 将 .NET 框架从 4.5.1 升级到 4.6.1
2. 安装 Sustainsys.Saml2.Mvc v2.2.0
3. 将 Microsoft.AspNet.Mvc 包从 5.2.3 升级到 5.2.7
4. 根据Sustainsys.Saml2 文档调整 Web.config 设置
5. 从他们的演示 MVC 应用程序下载 .cert 和 .pfx 文件

Web.config 的内容：

我目前正在从我的笔记本电脑托管我的应用程序：

• Windows 10 企业版
• 安装了最高 4.6.1 的 .NET 框架
• IIS 10.0.15063.0
• IIS 中的应用程序池设置：
  • .NET 4.0
  • 允许 32 位应用程序

它在以下位置使用模拟身份提供程序：https ://stubidp.sustainsys.com/

发布到 /MyApp/Saml2/Acs 的 XML：

我还在Options.Logger控制器上设置了属性，这就是我在调试输出中得到的：

在调试应用程序时，User.Identity.Name我的 MVC 控制器中的属性为空。进一步检查该对象：

为什么System.Web.Mvc.Controller.User.Identity.Name成功断言 SAML 响应后为 null？

我需要将 SSO 与使用 SAML2 的客户集成。不幸的是，我使用的是稍旧版本的库（Kentor）。

我几乎已经让 SSO 流程正常工作了。我网页中的登录按钮正确地将我带到客户登录页面。输入用户名/密码后，客户端系统进行身份验证并返回有效响应。

不幸的是，从客户端返回到我们的身份验证端点的重定向失败，并显示“403 - 禁止访问：访问被拒绝”。

我想硬编码 saml 响应（我可以在 chrome 调试工具中看到）并直接点击我的 auth localhost 来调试正在发生的事情。我尝试使用 POSTMAN 无济于事。有没有办法做到这一点？

这是我要发布到的硬编码 SAML：http://localhost:11996/AuthServices/Acs

我有带有 Owin 的示例 WebForms 应用程序。尝试使用 Azure AD IdP 进行 SAML2 身份验证。它工作正常，用户在应用程序中注册并通过身份验证。

现在我需要使用其他 IdP。所以我改变了我的申请，什么也没有。Saml 响应包含成功，因此 IdP 对我进行了身份验证。但是调用 Context.GetOwinContext().Authentication.GetExternalLoginInfo() 返回 null。

我发现了一些关于“外部 cookie”的帖子，但我认为这不是我的问题，因为 Azure 示例工作正常。切换到其他 IdP 失败。

唯一的区别似乎在于 SAML Xml 格式。Azure 返回为

但其他 IdP 返回为

但是命名空间应该没问题。

所以它一定是 SAML 响应中的东西？我怎样才能发现问题？

我正在使用 idp 发起的 SSO 流。我正在使用使用 OWIN 中间件的 Kentor.AuthServices。

除了在成功处理 SAML 响应后控件到达我的回调方法时，用户身份没有得到设置之外，大部分流程都有效。

在 web.config 中设置：

这是我的 Startup.cs：

以下是 Kentor 日志（日志中没有错误）：

最后我的重定向方法：

不幸的是，我已经被这个问题困扰了一个星期。我相信这真的很接近完成，所以任何帮助将不胜感激。

谢谢！

我们是服务提供商，正在尝试使用SAML2库实施 SP 发起的 SSO。我有以下问题

1. 当最终用户尝试访问受保护的 SP 应用程序/资源时，SP 端点应如何识别应将身份验证请求重定向到哪个 IDP？

2. 是否有任何标准格式可以接受来自 IDP 用户的首次/初始请求？

3. 在将请求重定向到 IDP 时，向 IDP 发送响应的标准格式是什么？

我们的技术栈： asp .net(4.5) MVC、C# 和SAML2 Sustainsys 库

我们的客户（在 SSO 术语中是 IDP-Identify provider）正在使用： 在 Azure AD 上由 SP 发起的 SAML

使用SAML2库，我实现了 IDP 发起的 SSO，其中 IDP 通过 SAML 响应达到我们的终点，我们正在使用 IDP 证书验证它并提取属性等

所以对于SP发起的我得到了关注，

// 验证后，IDP 可以访问我们现有的端点，该端点验证断言并重定向用户。我实现了这部分，并且在 IDP 启动设置的情况下运行良好。

我错过了什么？欢迎任何建议/问题。

对于 SP 发起的场景，我在网上找到的所有内容都没有示例或解释清楚。

我已经接管了一个项目，并且其他事情需要一些包升级，所以我从这些事情开始......

对这些...

我遵循了迁移指南，但当我的 Web 窗体项目中出现挑战时，无法重定向到 SingleSignOnService 位置。

我的 Web.config 具有以下结构...

还有我的 Owin 创业公司...

我试过在路径映射中触发挑战......

我的问题是我是否将 Owin 软件包升级得太远，是否有人有一些故障排除提示？