SAML IdP如何与SP通信更改?
SAML IdP(Security Assertion Markup Language Identity Provider)是一种身份提供者,用于实现单点登录(Single Sign-On)和身份验证。它与SAML SP(Service Provider)之间的通信可以通过以下步骤进行更改:
- 配置元数据(Metadata):SAML IdP和SAML SP之间的通信需要通过元数据进行配置。元数据包含了双方的身份验证和授权信息,以及用于加密和签名的证书。在更改通信时,需要更新元数据中的相关信息。
- 更新信任关系:SAML IdP和SAML SP之间的通信是基于信任关系的。在更改通信时,需要更新SAML IdP和SAML SP之间的信任关系配置。这包括更新信任的实体ID、证书指纹、断言消费服务URL等。
- 配置身份提供者:SAML IdP需要配置与SAML SP通信的相关参数。这包括配置SAML SP的元数据URL或文件路径、断言消费服务URL等。通过这些配置,SAML IdP可以了解如何与SAML SP进行通信。
- 配置服务提供者:SAML SP需要配置与SAML IdP通信的相关参数。这包括配置SAML IdP的元数据URL或文件路径、断言生成服务URL等。通过这些配置,SAML SP可以了解如何与SAML IdP进行通信。
- 测试和验证:在更改通信后,需要进行测试和验证以确保SAML IdP和SAML SP之间的通信正常工作。可以使用SAML测试工具或模拟用户进行登录等操作,验证通信是否成功。
总结起来,要更改SAML IdP与SP之间的通信,需要更新元数据、更新信任关系、配置身份提供者和服务提供者,并进行测试和验证。这样可以确保SAML IdP和SAML SP之间的通信正常,并实现单点登录和身份验证。
关于SAML IdP和SP的更多信息,以及腾讯云相关产品和产品介绍,可以参考腾讯云的身份认证服务(CAM)和腾讯云访问管理(Cloud Access Management)相关文档:
- 腾讯云身份认证服务(CAM):CAM是腾讯云提供的一种身份认证和访问管理服务,可以帮助用户管理和控制腾讯云资源的访问权限。了解更多信息,请访问:CAM产品介绍
- 腾讯云访问管理(Cloud Access Management):Cloud Access Management是腾讯云提供的一种访问管理服务,可以帮助用户管理和控制腾讯云资源的访问权限。了解更多信息,请访问:Cloud Access Management产品介绍
请注意,以上提供的是腾讯云相关产品和产品介绍的链接地址,仅供参考。
相关·内容
1回答
目前,我有一个依赖于SAML身份提供者的SP。它还支持用户直接登录到SP。用户可以直接登录,或者用户可以从SP开始,并被重定向到SAML身份提供程序进行身份验证。
我计划将SP转换为使用OIDC和IdSrv4,而根本没有SP托管凭据。我仍然希望支持SAML提供者,但理想的情况是通过新的OIDC IdP。将这个新的OIDC IdP添加到SAML流中的正确方法是什么?我是否:
让SP和SAML进行通信,然后将SAML响应传递给IdP进行翻译(这似乎不正确,也不容易被滥用)
将SP重定向到OIDC IdP,并使用一些上下文来了解SAML。然后OIDC IdP处理SAML响应,并通过常规的OI
浏览 3提问于2019-10-24得票数 0
回答已采纳
我们将SAML2 IDP配置为会话不活动超时时间为30分钟。单点登录后,用户成功登录到SP。现在,还为SAML Single Logout (SLO)配置了SP。看起来,即使用户正在使用SP应用程序,会话超时也会发生。我想知道这是不是由于会话不活动设置@ IDP造成的。我想知道IDP是如何知道用户会话是活动的@ SP,所以它不会发出SLO。有什么想法吗?
浏览 0提问于2014-07-26得票数 8
回答已采纳
好的,我的系统是一个SAML2 SP。我们已经在SSOCircle (public saml idp test harness)上进行了测试,它可以正常工作。
现在,我们正在尝试与一位客户(他是一名IdP)进行设置。我的问题是,如果我们正在进行IdP发起的单点登录- IdP是否需要对SP可见?(无法通过web访问idp )或者,只要IdP可以发布到SP,这无关紧要吗?( SP是公开可见的)。
我的假设是它不会。对吗?
浏览 0提问于2016-07-21得票数 0
回答已采纳
我们正在使用SAML Web浏览器SSO配置文件(SAML2.0)
我们有一个使用SAML2.0的SP。IdP和SP之间的所有通信都是通过HTTPs进行的。
如果来自AuthnResponse的IdP是通过HTTPs发送的,那么SP是否必须对加密断言和整个响应上的签名进行验证?如果所有断言都是加密的,IdP是否不需要进行签名验证?
谢谢。
浏览 0提问于2018-10-08得票数 1
我正在探索SAML身份验证的不同绑定类型。以下是我的理解:
SP将向IdP发送一件艺术品,而IdP将向SP发回相同的伪件。这是在SP和IdP之间创建一个握手。
SP现在将通过反向通道响应实际的SAML,该SAML对应于工件。
但是,如果使用IdP启动的工件绑定,IdP是如何知道以下内容的:
要投票给哪个SP?
什么时候投票SP?
属性断言SAML消息位于SP端。那么,IdP如何在没有SP事先通信的情况下知道相应的伪制品呢?
浏览 3提问于2016-11-24得票数 1
我已经“实现”了一个Shibboleth SP (Service Provider),我读到它是SAML2.0的一个实现。现在我的老板问我,我们是否也可以在我们的web应用程序中通过SAML 2.0实现SSO (单点登录)。
由于Shibboleth只是SAML 2.0的一个实现,我能以某种方式使用它吗?我是否只需要编辑一些文件来支持不是Shibboleth IdP的额外IdP (身份提供商)?
我读到有许多第三方组件使用WIF (Windows Identity Foundation)来实现SAML2.0SP。在我的SAML2.0实现中,只使用这些第三部分组件比尝试“重用”Shibbolet
浏览 3提问于2015-02-10得票数 1
我以前从来没有使用过SAML,所以我有点困惑。我以为我可以只用base64编码xml和一个键,然后就可以上路了,但显然没有那么简单。
我必须向post方法发送SAMLRESPONSE
<form method="post" action="%ACS" ...>
<input type="hidden" name="SAMLResponse" value="%RESPONSE" />
<input type="hidden" name="Relay
浏览 3提问于2018-01-23得票数 3
回答已采纳
我总是混淆SAML元数据和SSO中SP和IDP之间的SAML请求/响应。在我看来,这看起来是一样的,因为这两个文件都是xml文件。有人能告诉我他们之间的区别以及如何为SP或IDP生成元数据吗?
谢谢
浏览 1提问于2021-12-20得票数 0
我设置了PingFederate IdP,并希望对基于SimpleSAMLphp的SP启用单点登录。PingFederate配置要求使用POST绑定发送SAML请求,并将LogoutRequest作为POST请求发送。SimpleSAML在默认的HTTP-Redirect绑定中向SignOnService发送SAML请求。我尝试通过以下方式更改saml20- idp -remote.php中的idp绑定:
'SingleSignOnService' => array(
0 => array(
浏览 3提问于2015-02-18得票数 1
设想情况:
浏览器(用户)从服务提供者(SP)请求资源。
SP将(带有SAML请求)重定向到标识提供者(IdP)。
由于它是第一次登录,用户会给(IdP)他/她的有效凭据。
然后,IdP将浏览器(包含SAML令牌的SAML响应)重定向到SP页面。
我有两个问题:
在步骤4中,浏览器是否存储或缓存SAML响应和/或SAML令牌?
如果是,什么样的东西(属性?暂停?协议?)阻止我拿走存储的SAML令牌。然后将其处理到另一台计算机(使用新会话),并使用该令牌登录到同一个SP?
浏览 11提问于2012-11-20得票数 27
回答已采纳
1回答
我会将simplesamlphp设置为3种不同的虚拟主机到本地主机。
1. http://idp-saml.com
2. http://sp-saml.com
3. http://api-saml.com
当我试图使用idp-saml.com连接sp-saml.com时,它工作得很好。
现在,我想将它与我自己的应用程序api-saml.com集成起来。
为此,我将遵循以下步骤:
在‘authsouce es.php’上为sp-saml.com创建"authsouce“。'sp1' => array( 'saml:SP',
浏览 0提问于2018-07-30得票数 2
我的客户希望我为SP启动的web-SSO szenario实现一些东西,它处理在我们的非军事区中运行的SP,并将未经授权的web访问重定向到由他们的非军事区内的另一个运营商/公司托管的IdP (多么令人惊讶)。
我对此有点担心,因为我记得,这需要两个IdP之间的联盟,严格地说:他们的IdP和我们的IdP,实际上并不存在。
此外,我还发现,SAML-artifact协议背后的想法是节省资源,并通过IdP直接访问SP来实现更安全的通信,而不是通过互联网使用HTML重定向。但是,当IdP和SP在不同的域中运行时,仍然可以通过互联网进行访问(危险区域)。
我说的对吗?给定的网络架构是对SAML2规范误
浏览 5提问于2016-02-11得票数 0
我们目前正在为客户开发一个应用程序。该项目的限制是,我们只能提供可部署的战争文件。客户提供基础设施,不允许有太多的偏离。
应用程序由Spring、Security和SAML开发。当前版本是一个单一的单一WAR文件。
目前,由于多种原因(可维护性、部署、代码质量、.),我们正在将这个单块应用程序拆分到不同的应用程序中。不幸的是,我们还不知道如何在给定的限制下实现授权:
基础设施约束:
应用程序将部署在JBoss EAP7.0上
客户提供自定义身份提供程序。
必须用SAML2.0实现与IdP的通信
自定义IdP有以下限制:
身份验证是通过代理完成的,这意味着只有经过身份
浏览 2提问于2017-02-17得票数 2
1回答
我是SP,想要验证来自IdP的签名。IdP告诉我,我们的SP不信任IdP的证书。
根据我的理解,这种情况会发生:
SP-> SAML request digitally signed with private key of SP
IdP-> SAML request gets verified with public key of SP (from metadata)
IdP-> SAML response signed with private key of IdP
SP-> SAML response gets verified with public key o
浏览 5提问于2021-09-07得票数 0
在我对SP-init和IDP-init SSO的理解中,如下所示:
IDP-init SSO: IDP生成base64编码的saml响应并发送到SP,然后SP验证该响应,最后如果响应有效,则用户登录到应用程序。
SP-init SSO:从SP向IDP发送saml请求,然后IDP将对用户进行身份验证,然后发送回saml响应,下一部分与IDP-init SSO相同。
我们如何决定SSO是使用SP-init还是IDP-init?由于身份验证部分的存在,SP-init似乎比IDP-init SSO更安全可靠。
浏览 0提问于2015-03-26得票数 3
回答已采纳
当我试图连接到一个网络封saml端点时,我得到了以下错误
我的服务器是作为SP安装的,我正在尝试验证saml20 20- IDP -emote.php中设置的对和idp的身份验证。
重定向工作正常,但是当IDP重定向回我的SP时,我得到以下错误。
SimpleSAML_Error_Error: UNHANDLEDEXCEPTION
Backtrace:
0 /mnt/www/html/livehappierstg/simplesaml/www/module.php:179 (N/A)
Caused by: SimpleSAML_Error_Exception: Error validating
浏览 2提问于2016-04-24得票数 0
回答已采纳
我正在通过SimpleSAML建立一个单点登录(作为服务提供商)。从身份提供程序的XML导入元数据后,第一个重定向工作。
但是,登录失败了,sspmod_saml_Error: Requester/InvalidNameIDPolicy: An error occurred.和身份提供者告诉我,请求应该包括
format: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
而不是
format: urn:oasis:names:tc:SAML:2.0:nameid-format:transient
我在SimpleSAML手册中发现的唯一
浏览 0提问于2018-07-04得票数 0
我有一个类似于的问题,但它遗漏了一些我想澄清的部分。
SAML配置文件规范描述了几种可能的绑定,并声明使用取决于SP和IdP设置。
SAML一致性和概要文件规范标识了可以合法地与这两条消息一起使用的SAML绑定。具体来说,可以使用、HTTP绑定或HTTP绑定从SP向IdP发送身份验证请求消息。响应消息可以使用HTTP绑定或HTTP绑定从IdP发送到SP。对于这对消息,SAML允许在选择使用的绑定时不对称。也就是说,可以使用一个绑定发送请求,并且可以使用不同的绑定返回响应。决定使用哪些绑定通常由IdP和SP系统中的配置设置驱动。在选择绑定时必须考虑诸如潜在消息大小、是否允许标识信息通过浏览器传
浏览 1提问于2016-07-29得票数 0
回答已采纳
我有服务提供者应用程序http://sp.example.com/sp,当用户通过浏览器访问它时,用户将从我的SP应用程序重定向到IdP服务器,该服务器配置在PingFederate服务器上,SP连接()作为实体id。用户通过带有SAML AuthnRequest的SAML协议重定向到IdP。但是在Ping服务器上,我一直收到这个错误,上面写着
unable to lookup idp connection metadata for entityid='http://sp.example.com/sp'
和平以前有没有人遇到过类似的错误?这是SP发起的SSO。
我发送给Ping
浏览 1提问于2014-04-28得票数 1
回答已采纳
我继承了这一点,并坚持这种做法。我只是想弄清楚它是否真的会起作用。
该项目涉及您的标准asp.net web应用程序与安卓和ios客户端。诀窍在于身份验证。应用程序是为第三方提供的,而用户从外部世界获得身份验证的唯一途径是使用他们的IDP。第三方并不关心用户经过身份验证后会发生什么。我所要做的就是前团队成员创建的架构图。该图表有3层。用户/移动设备、SAML SP Web应用程序和客户端IDP。流动的重要部分如下:
移动应用程序使用IDP用户名和密码调用SAML应用程序。
SAML使用用户的凭据调用IDP登录
用户认证?成功响应SAML SP Web应用程序和SAML断言/令牌
浏览 2提问于2016-03-31得票数 1
回答已采纳
1回答
WSO2单次注销实施
、、、
我正在尝试在我的java webapp中实现WSO2 Single Logout功能。
我不能理解这个东西:
我为2个我的发行者设置了SAML单一注销选项。
然后我为第一服务提供商( SP )调用注销,IdP将其重定向到某个带有SAML响应的注销url,SP收到此请求并使http会话无效。
第二个SP也收到来自IdP的带有SAML响应的请求,但此请求中的http会话是IdP和SP之间的会话,我需要使web浏览器和SP之间的会话无效。如何获得此会话?
浏览 0提问于2013-02-08得票数 2
回答已采纳
我正在尝试通过SAML实现单点登录,并将我的应用程序用作IdP (路由基于localhost:3000)和SP (基于lvh.me:3000的路由)。我使用saml_idp gem为SP端设置了IdP和omniauth-saml gem。 如果我绕过gem中SamlIdpController中的validate_saml_request方法,我可以得到一个发送到IdP的请求和一个返回的响应。根据我在config/saml_idp.rb文件中配置的内容,我得到的响应将返回用户的电子邮件和名/姓。 我真的不想绕过validate_saml_request。当我查看为什么我的request is
浏览 26提问于2020-12-18得票数 0
我用Drupal设置了我的SimpleSamlPhp(我的IdP在另一台服务器中)。在以管理员身份登录到"“之后,我使用IdP运行了”测试身份验证源“,显示了具有正确属性的”SAML2.0SP演示示例“屏幕。我想这意味着SimpleSamlPhp和我的国内流离失所者可以见面,并进行适当的交流。
然而,在打开“通过SimpleSAMLphp激活身份验证”之后,当我尝试在Drupal中使用联邦登录时,我得到了以下错误:
SimpleSAML_Error_Exception: Could not find the metadata of an IdP with entity ID '
浏览 11提问于2016-08-17得票数 5
我的IDP需要一个带有嵌入式、签名和加密的AuthNRequest,其中请求url看起来如下所示:
{val1}
带有嵌入式签名的AuthNRequest (HTTP绑定)
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="pfx41d8ef22-e612-8c50-9960-1b16f15741b3" Version="2.0
浏览 3提问于2015-09-04得票数 0
回答已采纳
1回答
我是SAML世界的新手。我刚刚安装了Shibboleth和IdP,并让它们相互配合。我现在正试着理解引擎盖下的一切是如何运作的。
问题是:当我们在Windows上安装时,我们可以选择是否安装Shib。有人能告诉我这是干什么用的吗?让SP发挥作用是可选的吗?
我已经尝试谷歌和搜索旧的帖子,但找不到这么多的细节。我的理解是Shib SP是一个运行在Apache上的模块(用于我的安装),它负责:
用IdP建立信任连接
处理来自浏览器的请求,并重定向到IdP
处理来自IdP的响应并重定向到用户的实际应用程序页面。
在我看来,Shib Daemon并没有参与这些工作。我是错过了什么还
浏览 4提问于2012-07-06得票数 1
回答已采纳
我正在阅读SAML规范,并对Keycloak和Shibboleth IdPs进行了实验,我不知道如何在SP启动的登录中实现一个特性。
我有一个传统的服务,它的登录页面显示SP状态信息(例如,应用程序版本,状态)。在切换到使用IdP登录页面之后,我想继续在IdP的登录页面上显示这样的每个SP的附加信息。我对数据交换感兴趣,而不是对登录页面本身进行模板化。
SAML2.0规范是否允许向IdP发送任意数据以进行登录?如果不是,还可以使用SP生成的数据来装饰IdP登录页面吗?
浏览 0提问于2019-07-02得票数 4
回答已采纳
我正在研究SP发起的SSO的可行性,在我们的解决方案中,第三方产品希望启动我们的产品,这样用户就不需要再次进行身份验证了。
工作流的jist是:
第三方产品(客户)的用户向我们的产品( SP)发起一个请求。
SP向IdP发起SAML请求。
IdP使用SAML断言进行响应。
不幸的是,我们的产品目前无法向IdP发送SAML请求(也就是说,我们不能执行步骤2)。
是否有任何第三方产品可以作为SP (听取第三方的请求并向IdP发送SAML请求)代表我们真正的SP,实际上,为我们执行步骤2?
浏览 0提问于2018-01-25得票数 0
1回答
我正在使用SimpleSAMLphp作为我们拥有的许多应用程序的IdP,主要是一个Drupal站点。我在IdP上使用了SQL作为创作源,它可以对用户进行身份验证,响应返回到Drupal,并且用户经过身份验证。一切都好!
然而,我们也需要使用社交登录(使用Twitter登录,Facebook等)。SimpleSAMLphp支持OAuth,我已经设置了它,登录在使用社交帐户的IdP上运行,SimpleSAML创建会话和cookie,但我没有在Drupal站点上进行身份验证。
我需要做的是通过返回Drupal并对那里的用户进行身份验证来完成请求,也就是说,在成功时向Drupal发出一个断言。
就像在
浏览 1提问于2016-02-15得票数 0
回答已采纳
2回答
我正在进行Idp自定义。我需要让它处理来自已登录到OIDC的SP的单个注销请求。我目前拥有SAML的Single Logout功能,但我的客户也要求OIDC。是否有发送单个注销请求的标准行业方法?典型的SP向单个注销端点发送什么内容?
浏览 1提问于2017-12-30得票数 1
如何在使用密钥披风作为服务提供者(SP)连接到(非密钥斗篷)身份提供程序(IdP)时,在密钥披风中安装签名证书?
更准确地说,密钥披风应该用作身份代理(如中所描述的),并将通过SAML2.0协议促进密钥披风SP和IdP之间的通信。
Keycloak文档包含用于进行“正常”HTTPS通信的,例如在浏览器中,但是我找不到任何关于安装用于后端到后端IdP通信中的签名证书的信息。有人知道怎么做吗?
(可能只安装了一个证书到Keycloak,即该证书既用于SAML通信,也用于其他非SAML密钥斗篷HTTPS通信?)
浏览 2提问于2020-11-18得票数 1
回答已采纳
我只想知道是否可以在同一台机器上配置simplesamlphp、IdP和SP。如果是这样的话,如果有相同的配置步骤,那就太好了。
上面是原来的帖子。经过几个小时的工作后,下面是simplesamlphp在同一台机器(在不同文件夹下)中使用SP和IdP的工作配置:
SP配置
IP地址: 10.209.122.151
文件夹: /var/simplesamlphp (通过Alias /var/simplesaml访问)
配置:
config/config.php:
'baseurlpath' => 'simplesaml/',
浏览 2提问于2017-05-22得票数 4
2回答
我尝试在本地安装一个SP和一个IDP,所以我创建了另一个主机:
127.0.0.1 localhost
::1 localhost
127.0.0.1 auth.saml.net
我创建了两个虚拟主机(一个用于SP,另一个用于Idp)
<VirtualHost auth.saml.net:80>
ServerAdmin toto@gmail.com
ServerName auth.saml.net
AddDefaultCharset UTF-8
Alias /simplesaml c:/wamp/w
浏览 4提问于2015-05-28得票数 1
回答已采纳
1回答
我遇到了一个问题,由于IdP签名证书不断变化,基于SAML的SSO链接失败了。
我(作为SP)有一个基于IdP的联合元数据的配置,它有两个签名证书(X509)。一切都如期而至。
几周后,由于IdP用不同的签名证书返回SAML响应,SSO链接中断了。我签了元数据,是的,不同的签名证书。
如何实现我的SAML请求包括由x509使用的IdP的end (作为SP)?
同样,IdP经常更改唱歌证书是一种常见的做法吗?我以前从未遇到过这样的问题,而且我有一个基于相同策略的有几年历史的SSO集成:元数据交换。是否可以在IdP上进行配置,使证书不被更改?
IdP是Azure广告。
我(作为SP)正在使
浏览 5提问于2019-03-13得票数 0
回答已采纳
1回答
下面是在IDP和SP之间交换SAML断言的代码片段,我可以从IDP获取SAML断言,但在SP端从IDP获取SAML断言的代码不起作用。
def exchange_assertion(self):
"""Send assertion to a SP."""
# sp[u'sp_url'] = http://localhost/Shibboleth.sso/SAML2/ECP
response = self.session.post(
sp[u'sp_url'],
浏览 0提问于2015-10-27得票数 0
我们使用shibboleth-idp使用shibboleth的SSO解决方案对用户进行身份验证。我们可以进行idp升级(2.4到3.1.1),也可以检查IdP 3.1.1的状态。()
我们知道'IdP 2.4‘使用OpenSaml2.6,IdP 3.1.1使用Opensaml 3.1.1,
我们有以下关于OpenSAML 3.1.1的查询
( A) OpenSAML 3.1.1中用于"SecureRandomIdentifierGenerator“的替代API
A.1)使用OpenSAML2.6在SP (非shibboleth组件)上生成样本SessionID,如下所示:
Se
浏览 7提问于2015-06-09得票数 1
回答已采纳
根据SP启动的SSO流,用户尝试访问SP。由于用户未经身份验证,因此他被重定向到IDP,在那里输入凭据,发布成功的登录,IDP在用户浏览器中设置cookie(在IDP的域中),并使用SAML响应将用户重定向回SP。一旦SP验证了SAML响应,它就会创建自己的cookie/令牌,并在sp's域中的用户浏览器中设置。
在随后的请求中,最理想的情况是:
SP是否只依赖于自己的cookie来获取用户信息
SP应该在每个请求中使用IDP验证用户会话。
如果建议使用选项1,那么从安全角度看,作为post登录,SP和IDP之间没有通信以满足进一步的请求。
如果建议使用选项2,则会在每
浏览 1提问于2017-11-04得票数 5
回答已采纳
1回答
SAML元数据用于在身份提供者(IdP)和服务提供者(SP)之间共享配置信息。IdP和SP的元数据在XML文件中定义:
IdP元数据XML文件包含IdP证书、实体ID、重定向URL和注销URL,例如saml_idp_metadata.xml。SP元数据XML文件包含SP证书、实体ID、断言消费者服务URL (ACS )和注销URL (SingleLogoutService),例如saml_sp_metadata.xml。在使用SAML登录到Web控制台之前,必须上载来自IdP的元数据,必须生成来自SP的元数据。在生成SP元数据之后,它必须与IdP共享。有关安全共享SP元数据的说明,请与IdP联
浏览 1提问于2018-04-28得票数 1
1回答
我有一个案例,我的雇主正在创建许多不同的门户网站。有些门户将在不同的域上,有些将在子域上。
例如,portal.com,sub.portal.com,其他-sub.portal.com,也可以是门户-a.com或port-b.com。
所有这些门户属于,相关和维护我的雇主。所有这些门户的身份验证都是用SAML完成的。
要为每个门户设置SAML将非常麻烦,因为对于每个门户,我们必须:
配置到某些IDP (exchange元数据)的连接
每年进行一次安全检查(根据国内流离失所者政策)
为连接到IDP付费订阅
正如你可以想象的那样,这最终变得站不住脚,无法管理。我们主要是用PHP
浏览 0提问于2016-07-09得票数 2
我是SP,无法使用客户端的IDP登录SP,出现以下错误:
SimpleSAML_Error_Error: ACSPARAMS
Backtrace:
1 modules/saml/www/sp/saml2-acs.php:21 (require)
0 www/module.php:135 (N/A)
Caused by: Exception: Unable to find the current binding.
Backtrace:
2 vendor/simplesamlphp/saml2/src/SAML2/Binding.php:99 (SAML2\Binding::getCurrentB
浏览 3提问于2018-11-28得票数 5
在目前的情况下,我们的基于web的应用程序(SP)已经使用Security扩展集成了SSO。我们的产品是一个SaaS,我们有不同的客户,他们可能有不同的,不同的IDP,(身份提供者)在他们的末端配置。现在,我们正试图为我们的移动应用程序提供SSO支持。
经过一些搜索,我发现了三个可能的解决方案,我可以实现:
1) 使用Web :当为客户端启用SAML时,移动应用程序将嵌入web视图,该视图在打开移动应用程序时呈现IDP登录页面。SP端的URL将被击中,这将触发SAML重定向到IDP。因此,webview将执行SP发起的登录流。但是,由于webview不使用cookie空间,用户必须登录到应用程
浏览 5提问于2014-12-02得票数 14
1回答
我正在使用simplesaml创建两个应用程序,一个是服务提供者,另一个是身份提供者。
当我试图测试它们时,我得到了以下错误:
SimpleSAML_Error_MetadataNotFound: METADATANOTFOUND('%ENTITYID%' => '\'http://samlsp.dev/module.php/saml/sp/metadata.php/default-sp\'')
Backtrace:
3 /var/www/samlidp/lib/SimpleSAML/Metadata/MetaDataStorageHand
浏览 1提问于2015-06-12得票数 6
回答已采纳
这应该是将我的应用程序重定向到我的AdFs signOut页面,然后将我重定向回我的应用程序。但是,它只是将我重定向到我的路由"/logout“。查看我的ADFS服务器上的日志没有任何反应。
[AllowAnonymous]
[HttpGet]
[Route("api/logout")]
public async Task<IActionResult> Logout()
{
return SignOut(new AuthenticationProperti
浏览 2提问于2019-11-21得票数 2
使用onelogin示例应用程序作为SP,以sso循环作为IdP,通过SSOCircle IdP works登录,但经过验证后的返回一个LogOutResponse,而不是成功的StatusCode请求者:
<samlp:LogoutResponse xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
ID="xxxxxxxxxxxxxxxxxxxxx" Version="2.0" IssueInstant="2018-03-28T07:50:49Z" Destinatio
浏览 5提问于2018-03-28得票数 1
回答已采纳
我们的组织中有几个基于PHP的应用程序。这三个问题都与我们的组织SAML IdP有关。除了一个,这些都是开箱即用的应用程序,里面内置了SAML。
我们有第三个应用程序是一次性的,但它目前还没有为它设置SAML。我们已经加载并开始配置SimpleSAMLphp,管理IdP的人员也向我提供了元数据。
我知道SAML的要点之一是防止SP应用程序看到用户凭据,而且显然也是为了SSO功能。
我的问题是:
当用户单击我们的“登录”链接到我们的登录页面时,我们需要做什么才能将用户引导到IdP登录页面--然后再将它们发送回SP?
我确实看到了我们的另一个应用程序的一些调试,有一个Saml请求是生成并发
浏览 0提问于2019-06-28得票数 0
我试图从开发人员的角度理解IdP启动的SSO的基本流程。我还试图从与.NET集成工具包一起提供的示例应用程序中跟踪此流。
基于这个链接:
PingFederate SP服务器解析SAML断言并将用户属性传递给OpenToken SP适配器。适配器在内部加密数据并生成OpenToken。
问题: PingFederate服务器如何解析SAML断言?我必须从SP服务器对其进行编码吗?或者PingFederate服务器的设置会进行解析吗?
现在我所知道的是,我需要开发解析由OpenToken服务器返回的PingFederate的部分。
浏览 1提问于2015-05-13得票数 1
回答已采纳
1回答
我正在开发SAML2服务提供商能力(支持IdP发起的SSO)。
我理解一般流程是: 1)用户在IdP上进行身份验证。2)用户通过HTTP POST向包含SAML端点的XML令牌启动我的SP。3)我的SP的断言--消费者服务( Consumer )--吃掉了这个令牌,对其进行了验证,并记录了所说的用户。
我不明白的是证书/私钥部分。据我所知,IdP与SP共享证书,证书用于验证SAML令牌到达时.但是,我找不到这方面的任何细节(除了官方的SAML规范,我真的很难理解)。
我的问题是: 1)谁创建证书?IdP还是SP 2)谁创建私钥?IdP还是SP? 3)密钥与证书的关系如何? 4)密钥/证书是如何
浏览 1提问于2015-02-02得票数 2
回答已采纳
1回答
SAML2.0响应
、、、、
我正在研究基于SAML2.0的SSO集成。除了一件事外,我几乎可以做到端到端的集成。SP向IDP发送SAML authn请求,IDP用SAML authn响应返回。这里的IDP是CA Siteminder,SP是JBoss 5.1上的Picketlink。但是,应用程序本身(配置为SP)如何知道用户已经通过IDP进行身份验证。会自动发生吗?如何防止应用程序再次提示用户?我相信,我应该禁用我在我的申请中已经拥有的所有机制?这是真的吗,还是有别的办法?
浏览 4提问于2014-08-05得票数 0
回答已采纳
3回答
消费SAMLResponse令牌
、、、、
基于SAML sp的身份验证遵循简短的工作流。
用户希望在sp访问应用程序。
sp向idp发送SAMLRequest令牌。
idp使用它并生成SAMLResponse令牌。
idp将此SAMLResponse令牌发送给sp给出的AC-URL。
我的问题是sp如何使用这个SAMLResponse令牌。逻辑是什么?如果我能得到一些JAVA代码的帮助,这将是有益的。
浏览 1提问于2011-07-13得票数 11
1回答
我一直在使用saml_idp中的SAML实现saml_idp。
我的用户管理已经成为ServiceProvider的IDP了。所有配置都是完全为该服务提供者设置的。现在,我想在配置与现有配置不同的地方支持另外一个服务提供者。
问题是我如何支持具有不同签名的多个SP,以及IDP中的证书,以便为不同的服务提供商单独行动。
我的项目中有saml_idp_initializer.rb。如前所述,它更特定于SP。
浏览 3提问于2020-03-31得票数 0
由于SP和IDP之间的通信通过客户端的web浏览器(SAML HTTP POST配置文件)进行,SSL是否在客户端浏览器上解密,然后再次解密发送到SP或IDP?
如果是,SAML令牌在这一点上很容易被窃取?我们能做些什么来防止它呢?
如何防止令牌重放?(在设置SAML之前和之后配置的基础上)
SAML令牌是否仅由SP使用一次?我们可以在IDP发送令牌后立即使其过期吗?
浏览 3提问于2015-08-24得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
云直播
对象存储活动推荐
腾讯云开发者
