问题标签 [sustainsys-saml2]

与 Kentor.AuthServices.Owin 0.18.0 和通常的流量日志一起工作。

升级到 Sustainsys.Saml2.Owin 2.2.0 后，我得到了这个流量日志......

我已经尝试在任何地方清除 cookie，并试图找到任何负责错误或错误参数的“自己的”代码。

如果我可以在不改变 IDP 方面的任何内容的情况下让我的两个分支机构都工作，我更愿意。

我的 Web.config 具有以下结构...

还有我的 Owin 创业公司...

我缺少什么来模仿旧包设置的行为？

我正在尝试使用此saml2 库提供的 Sustainsys.Saml2 和 Sustainsys.Saml2.AspNetCore2 库来实现 IDP 启动和 SP 启动的场景。

在参考了我到目前为止所做的示例应用程序之后：
1. 通过 nuget 参考最新的 Sustainsys.Saml2.AspNetCore2 和 Sustainsys.Saml2
2. 修改 Startup.cs 以添加新选项
3. 使用 ACS 端点创建 MVC 控制器

我想了解的事情：
1. 我是否需要启动 Saml2Handler 以便我可以点击库的 HandleRequestAsync() 端点。
2. 如何检索委托人/声明
3. 对于 sp 发起的情况，当端点识别请求未经过身份验证时，如何将请求重定向到 IDP？
startup.cs 中的 ConfigureServices 方法

我是否需要创建/实现自定义Saml2Handler并将其注入 SSo 控制器？我在这个ASPNETSAMPLE项目中找不到 saml2/ACS 的 确切终点？

我错过了什么？

我试图让sustainsys.saml2 在SSL 负载平衡器后面运行，而SSL 在负载平衡器处被截断。如果我将 SSL 请求传递到应用程序中，一切都会按预期工作。我想要做的是将 HTTP 请求传递到应用程序中，并让sustainsys 使用基于 SSL 的消费者断言 url 创建登录请求。这可能吗 ？

是否可以使用 Sustainsys.Saml2 库在 ASP.NET Core 应用程序的 Startup.cs 类之外为 Saml2 设置 IdentityProvider 选项（EntityId、MetadataLocation）？

在我的场景中，不同的客户需要不同的设置，所以我需要在运行时而不是应用程序启动时更改设置。

我正在寻找自定义 IdentityServer4 以从数据库加载外部身份提供程序。我想扩展 ConfigurationDBContext 以包含 Saml2Provider 的 DbSet。在我的启动中，我想自动添加 Saml2Provider。理想情况下，我希望有一种简单的方法可以在 idsvr4 登录页面中刷新可用的提供程序列表，而无需重新启动应用程序。

我已经能够从数据库加载我的 Saml2Providers 并将它们注册为外部提供程序。但是，这是使用 ApplicationDbcontext，并且不会在对 idsvr 的每个请求上刷新。

这是我的 configureServices 正在工作（使用 ApplicationDbContext 从数据库中检索提供程序）：

这是我扩展 ConfigurationDbContext 的尝试：

我希望外部提供程序在数据库中更新时在登录屏幕中自动刷新。如果可能的话，我还想通过 ConfigurationDbContext 加载外部提供者信息，因为在那里很有意义。

扩展 ConfigurationDbContext 有 2 个问题：

1. 迁移未正确构建：

   无法创建“IdSrvConfigurationDbContext”类型的对象。将“IDesignTimeDbContextFactory”的实现添加到项目中，或查看https://go.microsoft.com/fwlink/?linkid=851728了解设计时支持的其他模式。

2. 我无法从启动中正确访问扩展上下文。我不确定如何正确接线。

我确信通过扩展身份选项构建器可以正确地连接它，但我不知道如何做到这一点。任何帮助将不胜感激。

我正在尝试IAuthenticationSchemeProvider在 ASP.NET Core 和 Sustainsys.Saml2 库中使用动态添加 SAML2 身份验证方案：

除了这个方案，我还需要配置Saml2Options它。我正在尝试这样IOptionsMonitorCache<Saml2Options>做：

然后，当我尝试使用此方案进行身份验证时，出现以下错误：

NullReferenceException：对象引用未设置为对象的实例。Sustainsys.Saml2.WebSso.Saml2Urls..ctor(HttpRequestData request, IOptions options) Sustainsys.Saml2.WebSso.SignInCommand.Run(EntityId idpEntityId, string returnPath, HttpRequestData request, IOptions options, IDictionary relayData) Sustainsys.Saml2.AspNetCore2.Saml2Handler。 ChallengeAsync（AuthenticationProperties 属性）

所以看起来这些属性从未与该方案相关联。

我不确定我是否会走上正确的道路。是否可以以这种方式动态注册方案？

有没有人有一个适用于仅 ASP.NET Core WebAPI 项目（无 Mvc）的 Sustainsys Saml2 库的工作示例，没有 ASP 身份更重要的是什么？github 上提供的示例强烈依赖于我不需要也不想使用的 MVC 和 SignInManager。

我添加了 Saml2 身份验证，起初它在我的 IdP 上运行良好（我还检查了 Sustainsys 提供的 StubIdP）的前几个步骤，所以：

• IdP 元数据正确加载
• 我的 API 正确重定向到登录页面
• 登录页面重定向到 /Saml2/Acs 页面，我在日志中看到它成功解析结果

但是我不知道如何从那里继续并提取用户登录和其他声明（我的 IdP 还提供了一封电子邮件，它包含在我在日志中确认的 SAML 响应中）。

按照在网上找到的一些示例并修改了一些来自 GitHub 的 MVC 示例，我执行了以下操作：

在 Startup.cs 中：

在 AccountContoller.cs 中（我尝试遵循如何在没有实体框架提供程序的情况下在 .net 核心中实现 google login 中描述的有点类似的情况）：

TLDR：我的 ASP.NET Core WebApi 项目中的 SAML 配置看起来不错，并且我在日志中检查了正确的声明并获得了成功响应。我不知道如何提取这些数据（返回 url 错误或者我的回调方法应该以不同的方式工作）。此外，令人费解的是，为什么从 SSO 登录页面成功重定向被视为“未经请求”，也许这就是问题所在？

感谢您的帮助

我正在集成 SustainSys.Saml2，Gluu 服务器作为我的 IdP。我正在使用开箱即用的脚手架身份页面。当我在 localhost 中运行并查看控制台日志时，一切似乎都与 SAML 通信一起工作，我什至看到几行内容如下：

除非我弄错了，否则这表明 SAML 端的一切都很好。但我不明白的是为什么，在ExternalLogin.OnGetCallbackAsync，命令

发现info设置为null。

作为记录，在 Startup.cs 中，我有：

有人可以解释为什么一种情况按预期工作，而另一种情况却没有吗？

身份验证后从 IDP 重定向时出现错误。

但我确实在 http-post 的重定向 url 中看到了一个 SAML 令牌。

SAMLRequest=lZGxTsMwEIb3Sn0Hy3vjxGmb5tRGiuhSqQjUlg5sjmMRi8QOPqfw%2BFgBBGVAYv3P33f%2BdWsUXct7KAffmIN6GRR68ta1BuFjsqGDM2AFagQjOoXgJRzL2z3wKIbeWW%2BlbelP5m9EICrntTWU7LYbquuqTvN0sVokPEvnchlXyyrh9bIWcpFVmcgpOSuHAdjQwAcKcVA7g14YH6I4yWdxOkv4icfAM0j5IyXbUEMb4Ueq8b5HYKy1T9pECtHOBuEj2QjnlYuk7WA1n6fM6LpnYwMW3lBSfv30xhocOuWOyl20VA%2BH%2Fbe0V%2BL5otXrbyW7P92dQ86Oo7CUSIvphJD1uADGEq74n2XNruDp5DO4Pl%2FxDg%3D%3D&RelayState=v2xJuO8SAvQlp-hmfNC5-YUA

500 0 0 359

我有一个类似的重定向到端口 443 并且工作正常，但是从负载均衡器重定向到 9090 失败并出现上述错误。该应用程序位于负载均衡器后面，我正在使用 publicOrigin 配置来获取根的公共 url。

2019-03-12 20:31:11 xxx.xxx.xxx.130 POST /sampleapp/Saml2/Acs - 443 - 192.168.127.139 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/ 537.36+(KHTML,+like+Gecko)+Chrome/72.0.3626.121+Safari/537.36 https://xxx.idp.com:8443/nidp/saml2/sso?SAMLRequest=nZHBTsMwDIbvk%2FYOUe5r0q5jXbRVqthl0hBoGztwS1NDI9qkxOng8QkdE%2BzCgavt77N%2FeYmybZJOFL2vzQ7eekBPPtrGoDh3VrR3RliJGoWRLaDwSuyLu61IIi46Z71VtqG%2Fmb8RiQjOa2so2axXVFdlxUGWs4SnGU9BQlYmcl5l2c08nS2eU0XJERwGYEUDHyjEHjYGvTQ% 2BlHi8mPDpJE4OCRfTWMT8iZJ1iKGN9ANVe9%2BhYKyxL9pEgGgnvfSRqqXz4CJlW5Gl6ZQZXXVsSMDCDCXF5dJba7Bvwe3BnbSCx932R9qBfD1peD8rresu3qD9UrOHw%2F0x9Nl%2BEBcKaT4eEbIcFokhjMv%2FZ1uyK8l49F24fmf%2BCQ%3D%3D&RelayState=zcs5p1LobhrHqJdC57eJHbUR 302 0 0 609

任何帮助表示赞赏。

在我的应用程序中，Kentor v.21 单次注销适用于不同的 IDP-s。然而，一个特定的 IDP 在注销后将 LogoutResponse 发送回 SP。在 SP 日志中，我看到以下行：Received logout response _9b1700c5-6f58-43aa-8b63-a2a4ad6fa3f2, redirecting to https://mysp.url/home/。我不确定这个 URL 来自哪里，但结果是，用户重新登录到 SP 应用程序。有没有办法在 SP 端配置它以重定向到其他页面？