单点登录认证
我需要一些关于我的SSO实现的指导。我已经成功地完成了几个SAML2实现,但是在这个实现中缺少了一些东西:-O,我相信它是次要的,但是我不确定我缺少什么,并且我在代理端的日志中没有看到太多的信息:-/
因此:
- 国内流离失所者启动
- 我是使用OpenAm 10的SP
- 使用J2EE代理
- 对于其他客户端,同样的配置也适用于prod。
- SAML 2实现
- 跨域启用
- 证书在我的客户端IDP元数据中加载。
问题是当我从供应商那里得到响应时,他们会被CDCSERVLET重定向到OpenAm的登录页面。我不明白为什么他们没有被认证。
在此,答复:
<Response ID="_FAD290A87DB14BC4A8A8F435DEBDEBB3" Version="2.0" IssueInstant="2015-12-31T20:59:34.1012911Z" Destination="https://sso.com:443/sp/Consumer/metaAlias/xxx-test/sp" xmlns="urn:oasis:names:tc:SAML:2.0:protocol">
<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">xxx</Issuer>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<Reference URI="#_FAD290A87DB14BC4A8A8F435DEBDEBB3">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<DigestValue>HPTUTyPjegeyjDW5lmMb8ggbwas=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>4Ek0xpDPj5Q==</SignatureValue>
</Signature>
<Status>
<StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</Status>
<Assertion Version="2.0" ID="_BCA1E13E205E4CDCB7AB903E90606DBD" IssueInstant="2015-12-31T20:59:34.1012911Z" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
<Issuer>xxx</Issuer>
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified">100</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData NotOnOrAfter="2015-12-31T21:04:34.1948917Z" Recipient="https://sso.com:443/sp/Consumer/metaAlias/xxx-test/sp"/>
</SubjectConfirmation>
</Subject>
<Conditions NotBefore="2015-12-31T20:54:34.1012911Z" NotOnOrAfter="2015-12-31T21:04:34.1012911Z">
<AudienceRestriction>
<Audience>xxx-test:saml2</Audience>
</AudienceRestriction>
</Conditions>
<AuthnStatement AuthnInstant="2015-12-31T20:59:34.1012911Z">
<SubjectLocality Address="000.0.0.000"/>
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
<AttributeStatement>
<Attribute Name="AIN">
<AttributeValue xsi:type="xsd:string">100</AttributeValue>
</Attribute>
</AttributeStatement>
</Assertion>
我在这个断言中注意到的是:
- 签名中没有证书(我的所有客户都有带有证书的签名)
在我这边,我确保:
- 身份验证上下文设置为密码以匹配断言
- 如果未指定NameId,则禁用联邦,并将NameId用作UserId
所有这些都应该对我有利,我不明白为什么客户端被重定向到OpenAM的登录页面。
任何帮助都会很棒!!
谢谢!
编辑:
因此,我让供应商修改断言以发送<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">xxxx</NameID>,并向领域添加了一个用户,并将其用作SP配置中的临时用户,但结果却是相同的问题!!
当nameid-格式被设置为未指定时,我将域中的100个用户创建为一个主题,但它仍然无法工作:-/
编辑3:以下是有关会议的一些信息:
<SessionNotification vers="1.0" notid="117627">
<Session sid="AQIC5wM2LY4SfcxfxdL6szA_aGlQEkFtHROifZHX_VpqHag.*AAJTSQACMDIAAlNLABM3OTI1OTk2NjE0MDA1MjA2MTcw*" stype="user" cid="id=user-test,ou=user,dc=openam,dc=forgerock,dc=org" cdomain="dc=openam,dc=forgerock,dc=org" maxtime="60" maxidle="30" maxcaching="5" timeidle="1800" timeleft="1529" state="destroyed">
<Property name="CharSet" value="UTF-8"></Property>
<Property name="UserId" value="user-test"></Property>
<Property name="FullLoginURL" value="/sp/UI/Login?ForceAuthn=false&MinorVersion=0&RequestID=see601a9040131cc9c9d09947cf1addab3e4df292&refererservlet=https%3A%2F%2Fs-----6ForceAuthn%3Dfalse%26ProviderID%3Dhttps%253A%252F%252Fstagingcng.inspirus365.com%253A443%252F%253FRealm%253D%25252F%26MinorVersion%3D0%26Federate%3Dfalse%26IssueInstant%3D2016-01-12T21%253A30%253A22Z%26MajorVersion%3D1&IssueInstant=2016-01-12T21%3A30%3A22Z&MajorVersion=1"></Property>
<Property name="successURL" value="/sp/console"></Property>
<Property name="cookieSupport" value="true"></Property>
<Property name="AuthLevel" value="0"></Property>
<Property name="SessionHandle" value="shandle:AQIC5wM2LY4SfcwZfnMFJVMF0olMGhmq-Nmqw_BMxoVv4AA.*AAJTSQACMDIAAlNLABM3OTI1OTk2NjE0MDA1MjA2MTcw*"></Property>
<Property name="UserToken" value="user-test"></Property>
<Property name="loginURL" value="/sp/UI/Login"></Property>
<Property name="Principals" value="user-test"></Property>
<Property name="Service" value="ldapService"></Property>
<Property name="sun.am.UniversalIdentifier" value="id=user-test,ou=user,dc=openam,dc=forgerock,dc=org"></Property>
<Property name="amlbcookie" value="01"></Property>
<Property name="Organization" value="dc=openam,dc=forgerock,dc=org"></Property>
<Property name="Locale" value="en_US"></Property>
<Property name="HostName" value="205."></Property>
<Property name="AuthType" value="DataStore"></Property>
<Property name="Host" value="205."></Property>
<Property name="UserProfile" value="Ignore"></Property>
<Property name="clientType" value="genericHTML"></Property>
<Property name="AMCtxId" value="a0749ff708bff14202"></Property>
<Property name="SessionTimedOut" value="1452636294"></Property>
<Property name="authInstant" value="2016-01-12T21:30:33Z"></Property>
<Property name="Principal" value="id=user-test,ou=user,dc=openam,dc=forgerock,dc=org"></Property>
</Session>让我印象深刻的是<Property name="AuthType" value="DataStore"></Property> (我有来自其他供应商的联邦:0),我确信问题是因为用户无法通过OpenAM进行身份验证。
回答 2
Stack Overflow用户
发布于 2016-01-18 16:26:45
我想出来了..。原来所有的设置都是正确的,但是我们的合作伙伴将断言发布到Relay/Target URL,而不是消费者URL……
Stack Overflow用户
发布于 2016-01-06 14:49:57
我假设在服务提供商端( Service,OpenAM)上关闭了自动联合,并且您使用NameID作为用户ID。
在收到断言后,SP帐户Mapper将尝试在Data中为定义SP的领域找到一个具有该用户ID的用户。您可以通过访问控制>您的领域>数据存储来找到映射到用户ID的哪个LDAP属性。查找一个名为"LDAP用户搜索属性“的属性。
在这种情况下,NameID值为"100",因此,Account Mapper将尝试使用该用户Id在您的数据存储中找到一个用户。例如,如果您的"LDAP用户搜索属性“设置为"uid",则Account Mapper将尝试在您的目录中找到"uid”等于"100“的用户。
因此,我的假设是,Account Mapper无法将传入的断言映射到有效的用户,而是将您带到OpenAM的登录页。
希望这能有所帮助。
https://stackoverflow.com/questions/34617277
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号