带有2个SP的SimpleSAMLphp IDP出现SLO问题:重定向至错误的登录屏幕

SimpleSAMLphp是一个用于实现SAML（Security Assertion Markup Language）身份提供者（Identity Provider，简称IDP）的PHP库。SAML是一种用于在不同的安全域之间传递身份验证和授权信息的开放标准。

在这个问题中，出现了SLO（Single Logout）问题，即单点注销问题。单点注销是指用户在一个系统中注销后，能够自动注销其他相关系统中的会话。重定向至错误的登录屏幕可能是由于配置错误或代码问题导致的。

为了解决这个问题，可以按照以下步骤进行排查和修复：

检查SimpleSAMLphp的配置文件：确保配置文件中的相关参数正确设置，包括正确的登录屏幕URL和SLO相关配置。
检查身份提供者的元数据配置：确保元数据中的登录屏幕URL和SLO配置与SimpleSAMLphp的配置一致。
检查身份提供者和服务提供者之间的信任关系配置：确保身份提供者和服务提供者之间的元数据配置正确，并且包含正确的登录屏幕URL和SLO配置。
检查SimpleSAMLphp的日志文件：查看日志文件中是否有相关的错误或警告信息，以便定位问题所在。

如果以上步骤都没有解决问题，可以尝试以下方法：

更新SimpleSAMLphp版本：检查是否有可用的更新版本，更新到最新版本可能修复已知的问题。
查阅SimpleSAMLphp的官方文档和社区支持：SimpleSAMLphp有详细的官方文档和活跃的社区支持，可以在官方文档和社区中搜索相关问题的解决方案。
联系SimpleSAMLphp的开发团队或支持团队：如果问题无法解决，可以联系SimpleSAMLphp的开发团队或支持团队，向他们寻求帮助和支持。

推荐的腾讯云相关产品：腾讯云提供了一系列与云计算和身份认证相关的产品，如腾讯云身份认证服务、腾讯云访问管理等。这些产品可以帮助用户实现安全可靠的身份认证和访问控制，保护用户的云计算资源和数据安全。

腾讯云身份认证服务（https://cloud.tencent.com/product/cas）是一种基于云原生的身份认证解决方案，提供了多种身份认证方式和安全策略，可用于构建安全可靠的身份认证系统。

腾讯云访问管理（https://cloud.tencent.com/product/cam）是一种用于管理用户权限和资源访问的服务，可以帮助用户实现精细化的访问控制和权限管理，保护云计算资源的安全。

请注意，以上推荐的腾讯云产品仅供参考，具体选择和配置应根据实际需求和情况进行。

相关·内容

为你的网站加一道防线，腾讯云服务器安装配置SimpleSAMLphp指南

介绍 SimpleSAMPLphp是一个开源的PHP身份验证应用程序，它作为服务提供者（SP）以及身份提供者（IdP）来为 SAML 2.0提供支持。...此信息将在生成的元数据中提供，SimpleSAMLphp将自动生成的错误报告发送到您指定的邮箱中。定位到以下部分： . . ....然后使用您在步骤3的配置文件中设置的管理员密码。登录后，您将看到SimpleSAMLphp使用的必需和可选PHP扩展的列表，以及哪些已经安装在您的系统上。...您将看到已配置的身份验证源列表。 [S5oJ8tr.png] 单击 example-sql ，因为这是您在上一步中配置的提供程序。接下来将出现输入用户名和密码的提示。...您将看到 SAML 2.0 SP演示示例页面： [fjs7Kv1.png] 如果您无法登录并且您知道密码是正确，请确保在创建用户时使用与AES\_ENCRYPT()功能相同的密钥，以及在查找用户时使用

3.9K4 0

【分布式技术专题】「单点登录技术架构」一文带领你好好认识以下Saml协议的运作机制和流程模式

通常，在用户通过身份验证后，浏览器将转到SP中的通用登录页。在SP发起的流中，用户尝试直接在SP端访问受保护的资源，而IdP不知道该尝试。出现了两个问题。...Okta还支持通过LoginHint参数将标识传递给IdP，这样用户在重定向到IdP登录时，就不需要再次输入该标识。...有关触发OKTA将“LoginHint”发送到IdP的说明，请参阅使用SAML深度链接重定向。SP发起的登录流的另一个问题是对深度链接的支持。大多数应用程序都支持深度链接。...SP发起的登录流程从生成SAML身份验证请求开始，该请求被重定向到IdP。此时，SP不存储有关该请求的任何信息。当SAML响应从IdP返回时，SP将不知道任何有关触发身份验证请求的初始深层链接的信息。...让管理员可以使用后门访问锁定的系统变得极其重要。这通常是通过拥有一个“秘密”登录URL来实现的，该URL在访问时不会触发SAML重定向。通常，管理员使用用户名和密码登录并进行必要的更改以解决问题。

2.3K0 0

Keycloak单点登录平台｜技术雷达

Keycloak首次在ThoughtWorks技术雷达第16期中以“评估”的状态出现。技术雷达15期正式提出“安全是每一个人的问题”，同时也对Docker和微服务进行了强调。...（图片来自：SAML2.0 wiki）上图是使用SAML协议时，用户首次登录的一种最常用的工作流（SP Redirect Request; IdP POST Response），也是Keycloak...用户请求Service Provider（简称SP），通过SessionID判断是否存在已鉴权的Context，否则返回302，重定向至Identity Provider（简称IdP），并携带参数，IdP...在此流程中，单点登录能够做到的非常关键的一点就是Web中的鉴权Context，这种方式的实现原理也就是利用了Cookie（Web Session的实现），多个SP对应一个IdP，任一台SP登录成功，IdP...但是，它的普及率不是很高，所以出现问题所能查到的资料有限。因此，如果能够得到更多的推广和支持，Keycloak在现代Web环境下，可能会有更好的发展。 ----

5.1K3 0

详解JWT和Session,SAML, OAuth和SSO,

于是 SP 向 IDP 发送了一个 SAML 认证请求，同时 SP 将用户浏览器 重定向到 IDP。...IDP 向 SP 返回 token, 并且将用户重定向 到 SP ( token 的返回是在 重定向步骤中实现的，下面会详细说明)。...当用户在 IDP 登陆成功之后， IDP 需要将用户再次重定向 到 SP 站点，这一步通常有两个办法： HTTP 重定向：这并不推荐，因为 重定向 的 URL 长度有限制，无法携带更长的信息，比如...用户通过客户端（可以是浏览器也可以是手机应用）想要访问 SP 上的资源，但是 SP 告诉用户需要进行认证，将用户 重定向 至 IDP。 IDP 向用户询问 SP 是否可以访问用户信息。...并且 IDP 和 SP 可能是完全不同的服务提供的。而在上文，我们之所以没有这样的顾虑是因为 IDP 和 SP 都是 Google。 ?

3K2 0

使用SAML配置身份认证

基于此断言，SP可以做出访问控制决定，换句话说，它可以决定是否为连接的Principal执行某些服务。 SAML的主要用例称为Web浏览器单点登录（SSO）。...使用用户代理（通常是Web浏览器）的用户请求受SAML SP保护的Web资源。SP希望知道发出请求的用户的身份，因此通过用户代理向SAML IDP发出身份认证请求。...如果看到认证错误，请在继续操作之前更正问题。 14) 重新启动Cloudera Manager Server。在为Cloudera Manager配置身份认证之后，请为经过身份认证的用户配置授权。...配置IDP 重新启动Cloudera Manager Server之后，它将尝试重定向到IDP登录页面，而不显示正常的CM页面。这可能成功也可能不成功，具体取决于IDP的配置方式。...IDP将在此过程中的各个时间点将Web浏览器重定向到这些URL。如果浏览器无法解决它们，则身份认证将失败。

3.9K3 0

单点登录SSO的身份账户不一致漏洞

SSO 身份验证通常使用授权代码流，它涉及跨三个主要方的令牌访问和 URL 重定向：终端用户、服务提供商和身份提供商。终端用户是尝试登录在线服务或帐户的个人。 SP 是为终端用户提供服务的网站。...IdP 是负责向 SP 提供身份验证服务的身份管理系统。通常，终端用户首先向 SP 提交登录请求。然后，SP 重定向终端用户以访问 IdP 身份验证 URL。...如果登录成功，进一步检查目标 SP 是否根据 SSO 登录的身份更新存储的帐户信息。特别是登录A账户查看账户设置中的SSO配置。如果谷歌账户信息作为授权认证方式出现，认为“sub”字段更新成功。...具体来说，SP 可能 (1) 只显示错误页面；或 (2) 要求用户用之前的账号登录，进一步修改 SSO 配置； (3) 引导用户注册新账号。...这些方法旨在减少身份账户不一致的发生，并防止用户在出现不一致时泄露受害者的账户。身份帐户不一致本身很复杂，涉及 IdP 和 SP。

7593 1

单点登录协议有哪些？CAS、OAuth、OIDC、SAML有何异同？

此时，用户在CAS服务端处于登陆状态）； CAS服务器同时也会把用户重定向至CAS Client, 且同时发送一个Service Ticket； CAS Client的服务端收到这个Service Ticket...SAML流程的参与者包括Service Provider（SP）和Identity Provider（IDP）两个重要角色，且整个流程包括如下两个使用场景： SP Initiated: 服务提供者主动发起...发现用户未登陆，则发起SAML的AuthnRequest请求至IDP, 用户浏览器跳转至IDP页面； IDP发现用户处于未登陆状态，重定向用户至IDP的登陆界面，请求用户进行身份验证用户在登陆页面中进行身份认证..., 通常情况下需要校验用户名和密码； IDP校验用户身份，若成功，则把包含着用户身份信息的校验结果，以SAML Reponse的形式，签名/加密发送给SP； SP拿到用户身份信息以后，进行签名验证/解密...可以看到，在整个流程中，IDP是负责颁发用户身份，SP负责信任IDP颁发的用户身份, SP和IDP之间的信任关系是需要提前建立的，即SP和IDP需要提前把双方的信息预先配置到对方，通过证书信任的方式来建立互信

21.4K4 5

聊聊统一认证中的四种安全认证协议（干货分享）

SSO 服务用于解决同一公司不同业务应用之间的身份认证问题，只需要登录一次，即可访问所有添加的应用。...IDP：账号认证的服务方（统一认证） SP：向用户提供商业服务的软件（实体），比如全预约子系统 User Agent：web浏览器用户试图登录 SP 提供的应用。...SP 生成 SAML Request，通过浏览器重定向，向 IdP 发送 SAML Request。 IdP 解析 SAML Request 并将用户重定向到认证页面。用户在认证页面完成登录。...IdP 生成 SAML Response，通过对浏览器重定向，向 SP 的 ACS 地址返回 SAML Response，其中包含 SAML Assertion 用于确定用户身份。...如果在第一步的时候，SP并没有在浏览器中找到相应的有效认证信息的话，则会生成对应的SAMLRequest，并将User Agent重定向到IdP。

1.5K4 1

SAML和OAuth2这两种SSO协议的区别

identity provider (IdP)身份提供者和service provider (SP)服务提供者。 IdP的作用就是进行身份认证，并且将用户的认证信息和授权信息传递给服务提供者。...如果在第一步的时候，SP并没有找到相应的有效安全上下文的话，则会生成对应的SAMLRequest，并将User Agent重定向到IdP： 302 Redirect Location: https://...登录成功之后，IdP将会返回一个XHTML form： ...SP中的assertion consumer service将会处理这个请求，创建相关的安全上下文，并将user agent重定向到要访问的资源页面。 user agent再次请求SP资源。...因为安全上下文已经创建完毕，SP可以直接返回相应的资源，不用再次到IdP进行认证。我们可以看到上面的所有的信息交换都是由前端浏览器来完成的，在SP和IdP之间不存在直接的通信。

3.8K4 1

通过saml统一身份认证登录腾讯云控制台实战

三：目标效果用户在网站https://authing.cn（或者其它提供idp身份认证的网站）登录后，访问设置好的登录链接 https://cloud.tencent.com/login/forwardIdp...在腾讯云的场景下，无法解决账号泄露乱买东西谁背锅的问题。有了公认的认证方法，账号是谁泄露的一目了然。当然，saml本身出现了问题，概率较小，暂不讨论。...五：SAML相关角色和登录流程 IDP（Identify Provider）：身份提供商，上例中指的是Authing SP（Service Provider）：服务提供商，这里指腾讯云 UA（User...Agent）：用户一句话解释流程：用户登录本地账号后，访问腾讯云资源，重定向到身份提供商处验证身份，验证成功后登录腾讯云。...具体流程如下： image.png 六：示例-idp配置步骤去Authing注册一个账号，登录后到控制台中第三方登录中创建idp image.png image.png 配置基本的用户信息，给自己看的

7.3K10 1

如何使用SAML配置CDSW的身份验证

[sapzlcjfus.jpeg] 内容概述 1.环境准备 2.CDSW配置SAML及注册IDP 3.登录验证 4.总结测试环境 1.CDSW版本为1.2.2 2.Shibboleth IDP版本为3.3.2...和private.key文件下载至本地客户端，在配置CDSW秘钥时会使用。.../v1/saml/metadata接口未提供完整的Metadata数据，所以这里我们使用在线工具https://www.samltool.com/sp_metadata.php生成CDSW的Metadata...文件，上传至IDP服务的/opt/shibboleth-idp/metadata目录下 [mskxpk0tew.png] 3.编辑/opt/shibboleth-idp/conf/metadata-providers.xml...---- 1.在浏览器输入CM地址，重定向到IDP服务的登录界面 [1pybdcknjp.jpeg] 2.在登录界面输入LDAP用户账号和密码，我们使用admin用户登录测试 [9awl720t9s.jpeg

4.3K9 0

信任的传递——为什么我们需要第三方授权？

在证书验证、基于JWT(Json Web Token)的身份认证、IDP(身份提供商)、SP(服务提供商)等技术中，都有一个可信的第三方，可明明是用户对资源或者服务的访问，为啥还要个第三方？...02 IDP/SP 身份提供商与服务提供商 —— 企业级的信任传递 ? 目的：用户通过合法的身份访问资源和服务。背景：统一管理身份，资源提供商不需要各自实现一套身份管理。...资源/服务提供商：没有token的访问时，重定向到认证服务器，有token的访问则进行有效性验证。...信任的凭证： IDP到终端：用户在IDP中的验证信息，如用户名和密码 IDP到SP：OAuth 2.0中第三方IDP颁发给服务提供商的client id与secret、token等可以证明身份的信息；Saml...目的：用户通过合法的身份访问资源和服务背景：用户访问资源，不想每次请求都登录面临问题：每次请求都填写用户名和密码的用户体验不可想象http协议每次请求都是相互独立的，需要进行验证具体说明：认证服务器

9193 0

关于OIDC，一种现代身份验证协议

认证与授权 OAuth2.0 仅处理授权问题，即“应用 A 能否访问用户 B 在服务 C 上的资源”，但它不直接处理用户身份的认证。...应用场景 OAuth 2.0 常见于第三方应用需要访问用户数据的场景，如社交媒体登录、云服务API访问等。 OIDC 更适用于需要确认用户真实身份的服务，如企业应用的单点登录、金融服务的身份验证等。...重定向至 IdP：RP 将用户重定向到预先配置的身份提供商（IdP）进行登录。用户身份验证：用户在 IdP 上输入凭证完成身份验证。...授权码发放：IdP 向用户代理（通常是浏览器）返回一个授权码，并附带 RP 的重定向 URI。 RP 交换令牌：RP 通过后端服务器向 IdP 发送授权码，请求换取访问令牌和 ID 令牌。...四 OIDC 的优势安全性：通过 HTTPS 传输数据，使用 JWT 进行加密，确保了通信的安全性。便捷性：用户只需在一个地方（IdP）登录，即可访问多个应用或服务，提高了用户体验。

5871 0

基于OIDC（OpenID Connect）的SSO（添加Github OAuth 2.0的支持）

在上上一篇基于OIDC的SSO的登录页面的截图中有出现QQ登录的地方。...acr_values=idp:wechat即可直接使用微信登录。...并且在Github认证完成后，进入ids4定义的外部登录流程中。从Fiddler中可以看到这个重定向的过程： ? 然后Github就打开了它的登录页面： ?...处理Github OAuth 2.0 的回调&保存Github的用户信息然后输入账号密码登录Github,随后Github会采用OAuth 2.0的流程，重定向到oidc-server.test的回调地址上...如有错误指出，欢迎指正!

1.6K3 0

案例分析：利用OAuth实施钓鱼

第一步：申请授权在这一步，网站向IDP发起授权请求。比如说你想要从Office365获取用户的某些权限，那么你需要生成一个带有你想要请求的权限的链接，而权限则需要通过SCOPES这个参数来传递。...第二步：获取授权当用户点击链接后会跳转到IDP（Microsoft, Google等）的授权接口，如果你还没登录，网站会要求你先登录，如果已登录，页面中会有个选择按钮让你选，YES或者NO，这个选择是将权限授予应用的最后一道屏障...上图就是用户未登录，网站要求用户登录的情况。 ? 上图为已登录的情况下，网站向用户发出询问，是否要给应用授权。...二、创建一个申请授权的链接（SCOPE）为了获取权限，用户会被url重定向至Microsoft，该url要包含如下格式数据： GET https://login.microsoftonline.com...最后发出去的邮件是下面这样子的。 ? 用户收到这封邮件后，如果他点击了链接，用户就会被重定向到授权页面。 ?

1.9K9 0

基于OIDC实现单点登录SSO、第三方登录

本文中的单点登录特指其狭义概念。第三方登录用户利用已有的第三方应用（IDP）账密，来快速完成己方应用的注册、登录。...（1）如果账密错误，则仍然重定向到OP登录页面。...如果校验失败，返回OIDC规定的错误响应。（本例将这个带有查询参数的完整URI称为authz_uri，后面会用到它）（2）检查用户是否已在OP登录（检查名为pyoidc的cookie）。...其入参为账密和authz_uri，负责进行表单认证：（1）如果账密错误，则仍然重定向回OP登录页面。...OIDC的优点之一是可以兼容众多的IDP（身份提供商），易于集成第三方登录，SSO的RP只需做出非常微小的改动。

5.5K4 1

电子政务云应急预案

（IDP、ACE）连接汇聚交换机注：该方式需要用于主防火墙的对内接口、汇聚交换机上联端口无故障的情况检查具体故障设备检查具体故障是由于光纤链路、防火墙或者交换机端口、板卡、设备等问题引起。...一般告警主要是非存储问题引起的告警，如客户端未建立连接等引起的告警，出现此类告警可检查服务器是否开机、光纤交换机是否工作正常等来排查问题，这类告警不会影响全网业务，无需启用应急预案。...如果出现严重告警，主要是存储问题引起的告警，如单路电源故障、硬盘故障等，出现此类告警需尽快根据告警信息确认故障原因，未能准确定位原因的需尽快联系售后人员进行问题处理。出现严重报警需启动应急预案。...4.3.3 光纤端口异常故障定位和更换现象描述： SP的物理端口显示连接错误影响可能导致用户无法读写存储或者读写性能下降原因可能存在光纤质量不佳，需要更换光纤。...如果整个SP出现故障，由于两个SP具有冗余，可以自动切换。如果客户端配置好了多路径，切换过程是不会影响业务运行。可能原因 SP出现一般告警，如温度过高、电压过高等。严重告警可能存在硬件问题。

5.2K3 3

salesforce零基础学习（一百零三）项目中的零碎知识点小总结（五）

Salesforce acting as IdP, IdP initiated 我们在前一个博客中也解释了 SSO中的 SP(Service Provider) 以及 IdP(Identity Provider...在这个demo中，help网址就是一个SP，用于提供服务，salesforce就是IdP，作为身份认证用。我们在项目中通常使用 SF和其他的平台做SSO，主要有三种的形式。...Salesforce 作为 SP，其他系统作为IDP； Salesforce作为IdP，并且访问SP的内容是由 IdP初始化； Salesforce作为IdP，并且访问内容由SP初始化。 ?...：作为SP；现在的需求是从IdP的环境有一个URL，点击这个URL可以直接跳转到SP环境的 Account 列表，这个时候，我们需要用到 RelayState参数。...篇中有错误地方欢迎指出，有问题欢迎留言。

9262 0

网站渗透测试安全检测登录认证分析

被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。...认证过程 SAML的认证涉及到三个角色，分别为服务提供者(SP)、认证服务(IDP)、用户(Client)。...一个比较典型认证过程如下： Client访问受保护的资源 SP生成认证请求SAML返回给Client Client提交请求到IDP IDP返回认证请求 Client登陆IDP 认证成功后，IDP生成私钥签名标识了权限的...安全问题 ?...源于ssl模式下的认证可选性，可以删除签名方式标签绕过认证，如果SAML中缺少了expiration，并且断言ID不是唯一的，那么就可能被重放攻击影响，越来越多的网站安全问题日益出现,如果想要对网站或平台进行全面的安全检测以及渗透测试

2.7K1 0

网站安全渗透测试检测认证登录分析

被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。...认证过程 SAML的认证涉及到三个角色，分别为服务提供者(SP)、认证服务(IDP)、用户(Client)。...一个比较典型认证过程如下： Client访问受保护的资源 SP生成认证请求SAML返回给Client Client提交请求到IDP IDP返回认证请求 Client登陆IDP 认证成功后，IDP生成私钥签名标识了权限的...SAML，返回给Client Client提交SAML给SP SP读取SAML，确定请求合法，返回资源 7.4.3....安全问题源于ssl模式下的认证可选性，可以删除签名方式标签绕过认证，如果SAML中缺少了expiration，并且断言ID不是唯一的，那么就可能被重放攻击影响，越来越多的网站安全问题日益出现,如果想要对网站或平台进行全面的安全检测以及渗透测试

1.6K4 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云