使用Microsoft包的.Net web应用程序中的SSO SAML
SSO(Single Sign-On)是一种身份验证机制,允许用户使用一组凭据(例如用户名和密码)登录到一个系统后,无需再次输入凭据即可访问其他系统。SAML(Security Assertion Markup Language)是一种用于在不同安全域之间传递身份验证和授权数据的开放标准。
在使用Microsoft包的.Net web应用程序中实现SSO SAML,可以通过以下步骤完成:
- 配置身份提供者(Identity Provider,IdP):在SSO SAML中,IdP负责验证用户身份并生成SAML断言(Assertion)。可以使用Microsoft的Azure Active Directory(AAD)作为IdP,通过配置应用程序的身份验证设置来启用SSO SAML。
- 配置服务提供者(Service Provider,SP):SP是需要提供SSO功能的应用程序。在.Net web应用程序中,可以使用Microsoft的ASP.NET框架来配置SP。通过在应用程序的Web.config文件中添加SAML相关的配置,指定IdP的元数据(Metadata)URL和其他必要的参数。
- 实现SAML断言的处理:一旦用户通过IdP成功验证并生成SAML断言,SP需要处理该断言以完成用户的登录过程。可以使用Microsoft的ASP.NET框架提供的SAML库来解析和验证SAML断言,并将用户身份信息与应用程序的用户数据库进行匹配。
- 实现单点注销(Single Logout):单点注销是指用户在一个系统注销后,自动注销其他相关系统的会话。在SSO SAML中,可以通过在应用程序中实现单点注销的逻辑来实现该功能。
推荐的腾讯云相关产品:腾讯云身份认证服务(Cloud Authentication Service,CAS)是腾讯云提供的一种身份认证解决方案,支持SSO SAML等多种身份验证协议。CAS可以与.Net web应用程序集成,提供安全可靠的身份认证服务。
更多关于腾讯云CAS的信息,请访问:腾讯云CAS产品介绍
相关·内容
1回答
SAML2.0是否定义了如何传递用于身份验证的用户名和密码?
authentication、saml
我知道SAML是如何用于单点登录(SSO)的。也就是说,从SP重定向到IDP,并从SAML响应/断言中获取用户的身份。
我的问题是:SAML2.0规范是否定义了如何将用户名和密码作为SAML请求XML的一部分进行身份验证?请注意,我不是指单点登录,而是要对用户名/密码进行身份验证。
浏览 0提问于2016-06-07得票数 6
回答已采纳
1回答
SAML2.0单独注销的问题-- IdP应该如何终止在不同用户代理中运行的SP会话?
saml、saml-2.0、idp、single-logout
我对SAML2.0单点注销有一个问题。
我有一个SAML2.0环境,它有一个IdP (标识提供者)和一个充当SP (服务提供者)的web应用程序。
作为用户,我在用户代理(浏览器)中启动web应用程序会话。使用IdP对用户进行身份验证。
在不同的浏览器(运行在同一台客户端机器上)中,我以同一个web应用程序中的同一个用户的身份启动另一个会话,即在相同的SP中启动SAML。
现在,我有两个独立的web应用程序会话,其中相同的用户是经过身份验证的。
然后,当我在其中一个浏览器中执行由IdP发起的单个注销时,IdP只发出一个注销请求,该请求终止在该浏览器中运行的会话。IdP发出的注销请求元素等于Id
浏览 2提问于2020-03-20得票数 0
1回答
WSO2在SAML请求中添加断言
wso2、saml、wso2is
有人知道如何在SAML请求中向联邦iDP添加额外的断言吗?问题是在SAML请求中没有nameID:
?xml version="1.0" encoding="UTF-8"?>
<samlp:AuthnRequest AssertionConsumerServiceURL="https://testserver.domain.local:9443/commonauth"
Destination="https://idp.eu.safenetid.com/auth/realms/XXXXXX
浏览 0提问于2021-02-03得票数 0
2回答
将SAML与我的mvc web应用集成在一起
asp.net-mvc、asp.net-mvc-4、single-sign-on、saml-2.0、tableau-api
我是SAML的新手,我需要一些澄清。
我有一个asp.net mvc应用程序。现在我想使用tableau并显示一些图表。我希望通过SAML SSO通过对tableau的身份验证。我的需求就像,
我的应用程序/ Tableau服务器通过HTTP充当SAML
SP将用户重定向到Idp以进行身份验证。
SAML IdP使用身份验证结果将用户重定向回SAML,原始请求继续进行。
SAML SP告诉Tableau可信身份验证用户已经成功地进行了身份验证。
可信身份验证向用户颁发信任票证。
用户能够访问(授权) Tableau视图/内容。
为此,我需要创建国内流离失所者。
浏览 1提问于2013-12-16得票数 0
3回答
选择SP启动或IDP启动SSO的原因
single-sign-on、saml-2.0
在我对SP-init和IDP-init SSO的理解中,如下所示:
IDP-init SSO: IDP生成base64编码的saml响应并发送到SP,然后SP验证该响应,最后如果响应有效,则用户登录到应用程序。
SP-init SSO:从SP向IDP发送saml请求,然后IDP将对用户进行身份验证,然后发送回saml响应,下一部分与IDP-init SSO相同。
我们如何决定SSO是使用SP-init还是IDP-init?由于身份验证部分的存在,SP-init似乎比IDP-init SSO更安全可靠。
浏览 0提问于2015-03-26得票数 3
回答已采纳
2回答
在依赖方上没有配置AssertionConsumerService
adfs2.0、spring-saml
带有ADFS idp的saml。在adfs idp中导入sp无符号元数据时,没有出现问题,但我在运行时遇到了一个问题:
在idp身份验证之后,在成功的身份验证中,在idp页面上,我得到了一个信任错误,如下所示:
The request specified an Assertion Consumer Service URL
'https://test.it/au/login' that is not configured on the relying party 'microsoft:identityserver:test.it'.
Assertion
浏览 10提问于2015-05-20得票数 4
2回答
如何在基于SAML的SSO中支持多个用户库而不同步?
single-sign-on、saml-2.0、federation
我正在阅读基于SAML2.0的联邦,因为它应该在当前的设置中申请SSO:
在应用程序A中,用户拥有凭据电子邮件/密码1
在应用程序B中,同一个用户具有凭据用户名/密码2
如果用户在A登录,他/她也应该在B登录
在这种情况下,SAMLv2.0似乎是一个很好的选择:
中央身份提供者(IdP),可能是A或B或第三方C。
A和B将是服务提供商(SP)
如果用户试图访问A,A将从包含电子邮件的IdP请求SAML断言
如果用户试图访问B,B将从包含用户名的IdP请求SAML断言
但是,如果用户是在A中进行身份验证的,那么他/她应该如何登录B(哪个用户名)?
浏览 0提问于2014-09-05得票数 0
回答已采纳
2回答
SAML和后端REST服务身份验证
rest、saml
我有一个像这样的应用程序工作流
(A)用户代理(浏览器)<
假设app服务器(B)是SAML服务提供者,并且用户@域使用Web浏览器SSO配置文件从浏览器(A)到应用服务器(B)进行身份验证。
运行在(B)上的应用程序如何将REST服务(C)认证为user@domain.com?(假设B和C都是同一IdP上的SAML )。
如果浏览器只是对B和C进行AJAX调用,那就很简单了。但是,如果REST服务是直接从应用程序调用的,您要做什么?
我要解决的问题是:如果应用程序本身不是SAML,而是与一个应用程序集成(例如,使用Shibboleth和REMOTE_USER头),那么应用程序可能永远看
浏览 2提问于2013-11-09得票数 6
1回答
使用Using联邦成员作为SP,使用Okta作为IDP
single-sign-on、okta、pingfederate、hyperion
因此,我的任务是为客户端的OracleHyperionApplication启用SSO。我使用的方法是基于自定义头变量的SSO。
PingFederate目前作为SSO身份验证服务器存在于许多应用程序中,计划使用它作为目标应用程序的SP,而它(Pingfed )正在从Okta 检索属性/对用户进行身份验证。
正如您可能已经猜到的那样,我对这个过程还比较陌生,我想了解如何配置:
SP从Pingfed启动SSO,并从Okta Idp连接中检索用户属性。
如何将从Okta发送到into的SP的SAML断言中的属性映射到opentoken到我的目标应用程序。
提前感谢
浏览 3提问于2020-10-17得票数 0
回答已采纳
1回答
用SpringBoot API进行密钥掩蔽SSO (SAML)的反应
reactjs、spring-boot、keycloak、openid-connect、saml-2.0
我正在开发一个应用程序,它的API是用JAVA开发的。这些都是纯REST。前部是在反应中形成的。
我应该以这样一种方式添加身份验证--在访问SpringBoot API之前,它使用Keycloak作为IDP进行用户身份验证。
到目前为止,我已经看到Keycloak可以支持keycloak.js,它是用于开放ID连接的JavaScript适配器。但是我想要SAML2.0的解决方案。
我可以在React应用程序中添加SAML2.0SSO吗?
还有一个问题:
在keycloak.Application B中配置了应用程序A作为认证协议,在中配置了开放的ID连接作为认证协议,并具有访问应用程序A.的权
浏览 5提问于2021-01-25得票数 1
回答已采纳
1回答
SAML2.0SSO与WSO2标识服务器?
java、wso2、single-sign-on、saml
对于我的内部应用程序,我需要使用WSO2标识服务器和SAML进行SSO。我偶然发现了一个美丽的
但是我对这篇文章有两个问题,我不知道它是如何工作的。
1)在第五步中说:“现在用户又被重定向到IDP,现在IDP意识到这个用户已经被认证了,因此它将发出SAML断言,而不会引发任何身份验证挑战。”
如何认识到用户已经通过了身份验证?
根据我的理解,这必须以会议为基础。这是否意味着当身份验证请求从服务提供者1转到标识服务器(SP1通过浏览器将请求重定向到IS )时,IS将首先对凭据进行身份验证,如果成功,则将用户对象保持在会话中。
现在,当第二个身份验证请求通过SP2发送到IS时,就会发送相同的会话I
浏览 2提问于2015-02-22得票数 2
回答已采纳
3回答
基于OAuth2的单点登录
oauth-2.0、single-sign-on、openid-connect
我们的项目包括几个子应用程序,我们正在寻找实现SSO的解决方案,以避免对每个子应用程序进行身份验证。
假设这是我们项目的结构:
authentication server(call it AS or IdP or something else)
order-system
product-system
data-analysis-system
.......
我们发现有很多关于“基于OAuth2实现的SSO”的文章,比如。
在那篇文章中,我们更喜欢SAML策略,因为它简单明了,但是对于本机应用程序有一些限制,然后我们重点讨论了OAuth2。
这就是工作流程:
OAuth2中的1条规则
浏览 8提问于2020-07-25得票数 10
1回答
如何识别以前SP在随后的IdP重定向到SP时启动的身份验证
authentication、saml、saml-2.0、idp
当使用SAML2执行服务提供者( SP )发起的身份验证时,SP和添加到身份验证请求中的用户将生成一个秘密ID。身份提供者(IdP)响应此AuthnRequest并回显SP的秘密ID (“响应”),以确保身份验证请求/响应的一致性。然后,SP处的身份验证可以继续进行(在验证了所有其他事情之后)。
当IdP上的当前身份验证会话仍然有效并且"IdP门户“具有通过某种书签/链接(如Office356中的应用程序图标)重定向到SP的能力时,会发生什么情况。SAML2标准中是否有任何在服务提供者(某种类型的IdP会话id )上继续以前启动的会话的配置?如果在这种情况下需要重新身份验证是很奇怪的,
浏览 2提问于2022-08-01得票数 1
回答已采纳
1回答
在现有的SP SAML连接中插入OIDC IDP
oauth、identityserver4、saml、openid-connect
目前,我有一个依赖于SAML身份提供者的SP。它还支持用户直接登录到SP。用户可以直接登录,或者用户可以从SP开始,并被重定向到SAML身份提供程序进行身份验证。
我计划将SP转换为使用OIDC和IdSrv4,而根本没有SP托管凭据。我仍然希望支持SAML提供者,但理想的情况是通过新的OIDC IdP。将这个新的OIDC IdP添加到SAML流中的正确方法是什么?我是否:
让SP和SAML进行通信,然后将SAML响应传递给IdP进行翻译(这似乎不正确,也不容易被滥用)
将SP重定向到OIDC IdP,并使用一些上下文来了解SAML。然后OIDC IdP处理SAML响应,并通过常规的OI
浏览 3提问于2019-10-24得票数 0
回答已采纳
1回答
对服务提供商.NET 4.5的SAML2.0和C#请求
c#、.net、single-sign-on、saml
我正在做一个需要单点登录的项目。系统A在数据库中查找用户名和密码,而系统B仅使用SAML 2.0进行身份验证。在这种情况下,系统B将是服务提供商(SP)。我是SAML SSO的新手,所以我不能百分之百确定我的方法是正确的。系统A必须是我猜测的IDP。用户将登录到系统A,并在成功登录后将进一步的信息发布到系统B,以完成SSO过程。这是准确的吗?
浏览 4提问于2016-01-14得票数 2
2回答
Spring :除了使用/saml/元数据端点之外生成SP元数据的替代方法
spring、spring-security、saml、saml-2.0、spring-saml
背景:我的网络应用程序正在PROD中运行,真正的用户正在使用它。最初的身份验证是使用Security实现的。
最近,客户端决定使用SSO进行身份验证,所以我的应用程序应该在客户端IdP中充当SP。我使用Spring将我的应用程序配置为SP。
在QA环境上与客户端IdP集成涉及接下来的步骤:
获取并存储从客户收到的IdP元数据文件。
在环境上部署带有SP配置的代码。
使用/saml/metadata端点生成SP元数据文件并与客户共享。
从客户IdP端获得许可,将SP元数据文件放在正确的位置。
验证SSO是否成功工作。
现在,是时候将SSO配置部署到PROD环境中,并将
浏览 3提问于2019-05-01得票数 1
回答已采纳
1回答
何时使用IdP重新进行身份验证?
authentication、single-sign-on、saml、idp
我的应用程序(SP)需要使用IdP (SP启动的SSO)通过SAML对用户进行身份验证。
一旦我的用户在第一次访问应用程序时进行了身份验证,那么SP什么时候应该“重新触发”身份验证(authnrequest)?我是否应该在后端的每个REST调用中重新断言SAML令牌,以知道它是否仍然有效?
浏览 5提问于2021-09-19得票数 0
回答已采纳
2回答
将认证信息从WSO2传递到SP应用程序
server、wso2、identity
我们正在为SSO启动一个项目,并使用wso2完成所有SAML、OAuth,并将我们的We应用程序保留为服务提供者。我已经浏览了在线文件,但需要一些帮助。
当用户试图访问When应用程序中的任何资源时,我会将用户发送到wso2,以便在OAuth /openid连接的情况下进行身份验证,我将如何形成这个url?
我已经在WSO2控制台中配置了IDP和SP,在身份验证之后,WSO2如何将经过身份验证的用户的凭据提供给服务提供者,我认为根据文档或示例应用程序,这应该是SAML或任何其他sso协议,如oauth等,文档不清楚,或者我可以找到任何示例。
我想用我自己创建的Authn重定向OAu
浏览 7提问于2016-01-21得票数 0
回答已采纳
1回答
如何在SSO中将IDP连接到端点应用程序?
salesforce、saml、saml-2.0
这是我第一次在SSO中使用SAML.And,我们将使用HTTP方法,而IDP是salesforce。我从网上得到了下面的台阶。
用户首次访问自定义应用程序。
服务提供者安全过滤器检查安全上下文是否可用,并使用SAML SSO请求将用户重定向到IDP
IDP使用身份验证对话框挑战用户,并在用户身份验证后重定向用户请求断言消费者服务(RACS)。
RACS验证来自IDP的响应,建立安全上下文并将用户重定向到原始的应用程序端点。
服务提供者安全筛选器强制执行有效的安全上下文,并允许用户访问自定义应用程序。
这里我的问题是IDP需要对应用程序端点进行身份验证。在这里,SAM
浏览 4提问于2014-06-02得票数 2
回答已采纳
1回答
在Google IdP中使用SAML属性ForceAuthn
google-cloud-platform、saml、saml-2.0、idp
实际上,我们使用Google IdP作为应用程序的单点登录/安全标记语言身份验证类型。我们已经将它配置为将我们的用户连接到我们的应用程序,它工作得很好。但最近,我们也希望针对应用程序生命周期中可能发生的不同操作要求对用户进行重新身份验证。
在更深入的细节中,当我们向Google Idp发送一个SAML请求时,我们在节点"AuthnRequest“中添加了属性ForceAuthn="true”,我们还添加了一个AuthnContextClassRef来显式地询问我们希望通过凭据进行重新身份验证。
当我们将这个SAML请求发送到Google IdP时,问题是IdP服务器没有向最终用
浏览 69提问于2021-05-31得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
