在SAML v2.0中,IDP和SP之间的信任是如何工作的?
在SAML v2.0中,IDP(身份提供者)和SP(服务提供者)之间的信任是通过以下步骤工作的:
- 配置信任关系:首先,SP需要配置其信任的IDP。这通常涉及到将IDP的元数据导入到SP的配置中,元数据包含了IDP的基本信息,如标识符、证书等。
- 用户访问SP:用户在访问SP提供的应用或服务时,SP会检测用户是否已经进行了身份验证。
- 重定向到IDP:如果用户未进行身份验证,SP将重定向用户到配置的IDP的身份验证服务。
- 用户身份验证:用户在IDP的身份验证服务中提供其凭据(如用户名和密码)进行身份验证。
- IDP颁发断言:如果用户的身份验证成功,IDP会生成一个SAML断言(SAML Assertion),其中包含了用户的身份信息和相关属性。
- 断言传递给SP:IDP将断言传递回SP,并通过用户的浏览器重定向将其发送到SP的断言消费服务。
- 断言验证:SP在接收到断言后,会验证其签名和有效性,以确保其来自可信的IDP。
- 授权访问:一旦断言被验证通过,SP会授予用户访问其应用或服务的授权。用户可以开始使用SP提供的功能。
整个过程中,IDP和SP之间的通信是基于SAML协议和XML格式的。SAML提供了一种安全的方式,使得SP能够信任IDP,并依赖于IDP对用户进行身份验证和授权。这样,用户只需要在一个地方进行身份验证,就可以访问多个SP提供的应用或服务。
腾讯云的相关产品和服务可以为SAML v2.0提供支持,例如:
- 云身份服务(Cloud Access Management,CAM):腾讯云的身份访问管理服务,可以帮助用户实现身份验证和访问控制,支持SAML v2.0协议。 链接:https://cloud.tencent.com/product/cam
- 腾讯云托管型身份提供者(Identity Provider,IDP):提供企业级的身份认证和授权服务,支持SAML v2.0协议。 链接:https://cloud.tencent.com/product/idp
这些产品可以帮助用户实现基于SAML v2.0的身份验证和授权,提供安全可靠的云计算服务。
相关·内容
1回答
我正在为web应用程序设置基本的SAML支持。该应用程序的每个用户(通过电子邮件地址标识)可以属于该应用程序的多个组织/公司。我想让单个组织通过SAML为其组织成员的用户启用SSO。
我( SP)和Idp (例如Okta,OneLogin)之间的通信从技术方面来说工作得很好。但我还没有弄清楚如何确保通过SAML请求访问我的应用程序的用户是她假装的用户,因为她可能在为组织启用SAML之前就已经注册了用户配置文件。
为了将现有的用户配置文件与特定的Idp“连接”,是否需要进行某种“链接”?
浏览 9提问于2017-08-25得票数 0
上下文:我们有一个无法控制的IdP,但是我们需要支持来自服务提供者( Service,SP)的SSO请求。
Idea:构建一个介于SP和OIDC身份提供者之间的代理(应用程序)。来自SP的请求被发送到代理应用程序(充当SP的SAML IdP ),代理应用程序将请求转换为OIDC请求并将它们转发给OIDC提供者。来自OIDC提供者的结果返回给代理应用程序,代理应用程序将它们转换为SAML响应,并将它们转发给SP。
问题:
我对SAML IdP (实现wise)的知识非常有限。在我看来,这种方法似乎很棘手:)我觉得有很多事情我需要考虑。所以,我需要一些帮助和指导,知道我在哪里做错事。我想问的几件事
浏览 0提问于2018-11-09得票数 2
回答已采纳
1回答
SAML元数据用于在身份提供者(IdP)和服务提供者(SP)之间共享配置信息。IdP和SP的元数据在XML文件中定义:
IdP元数据XML文件包含IdP证书、实体ID、重定向URL和注销URL,例如saml_idp_metadata.xml。SP元数据XML文件包含SP证书、实体ID、断言消费者服务URL (ACS )和注销URL (SingleLogoutService),例如saml_sp_metadata.xml。在使用SAML登录到Web控制台之前,必须上载来自IdP的元数据,必须生成来自SP的元数据。在生成SP元数据之后,它必须与IdP共享。有关安全共享SP元数据的说明,请与IdP联
浏览 1提问于2018-04-28得票数 1
我正在阅读基于SAML2.0的联邦,因为它应该在当前的设置中申请SSO:
在应用程序A中,用户拥有凭据电子邮件/密码1
在应用程序B中,同一个用户具有凭据用户名/密码2
如果用户在A登录,他/她也应该在B登录
在这种情况下,SAMLv2.0似乎是一个很好的选择:
中央身份提供者(IdP),可能是A或B或第三方C。
A和B将是服务提供商(SP)
如果用户试图访问A,A将从包含电子邮件的IdP请求SAML断言
如果用户试图访问B,B将从包含用户名的IdP请求SAML断言
但是,如果用户是在A中进行身份验证的,那么他/她应该如何登录B(哪个用户名)?
浏览 0提问于2014-09-05得票数 0
回答已采纳
1回答
我正在使用SimpleSAMLphp作为我们拥有的许多应用程序的IdP,主要是一个Drupal站点。我在IdP上使用了SQL作为创作源,它可以对用户进行身份验证,响应返回到Drupal,并且用户经过身份验证。一切都好!
然而,我们也需要使用社交登录(使用Twitter登录,Facebook等)。SimpleSAMLphp支持OAuth,我已经设置了它,登录在使用社交帐户的IdP上运行,SimpleSAML创建会话和cookie,但我没有在Drupal站点上进行身份验证。
我需要做的是通过返回Drupal并对那里的用户进行身份验证来完成请求,也就是说,在成功时向Drupal发出一个断言。
就像在
浏览 1提问于2016-02-15得票数 0
回答已采纳
我们正在使用SAML Web浏览器SSO配置文件(SAML2.0)
我们有一个使用SAML2.0的SP。IdP和SP之间的所有通信都是通过HTTPs进行的。
如果来自AuthnResponse的IdP是通过HTTPs发送的,那么SP是否必须对加密断言和整个响应上的签名进行验证?如果所有断言都是加密的,IdP是否不需要进行签名验证?
谢谢。
浏览 0提问于2018-10-08得票数 1
在阅读了大量关于SAML协议的文档后,我仍然不明白IDP和SP之间的信任是如何工作的。 我知道IDP和SP都必须有一个包含x509证书的“元数据”文件。要建立此信任,IDP和SP必须交换这些元数据文件。 但我不明白从技术上讲这是如何工作的。根据我的研究,许多IDPs通过上传元数据文件以图形方式提供此功能。我的最终目标是在Golang中实现SAML协议。这就是为什么我想了解它是如何工作的。 提前感谢!
浏览 497提问于2021-10-25得票数 0
1回答
我已经成功地使用WSO2IS 4.6.0和spring插件配置了SSO,但是当我启用签名和签名验证时,如下所示:
我在WSO2控制台上看到错误
WARN {org.wso2.carbon.identity.sso.saml.util.SAMLSSOUtil} - Signature Validation Failed for the SAML Assertion : Signature is invalid.
DEBUG org.wso2.carbon.identity.sso.saml.util.SAMLSSOUtil} - org.opensaml.xml.validation.Va
浏览 3提问于2016-05-14得票数 2
掌握OpenID连接与第三方IdP ( OP )并保护API。我对客户机和用户代理组件以及OAuth2.0流和作用域很满意,它们可以从IdP中获得一个访问令牌和一个向我的客户机发出的id令牌
我正在挣扎的是资源提供者端,以及安全API如何信任客户端传递的访问令牌。我一直将信任元素等同于SAML,以及IdP和SP之间静态配置数据的初始交换。这似乎在OpenID连接中缺失了,所以我缺少了信任元素。我正在阅读关于动态发现的文章,但我再次忽略了RP和IdP之间的信任技巧。有什么能阻止我建立一个流氓IdP?为什么API提供程序应该信任来自我的IdP的令牌?
最后一个问题是RP中唯一标识符的局部表示。帐户
浏览 1提问于2017-04-23得票数 0
回答已采纳
我正在尝试配置SAML SSO,将OpenAM作为SP,将PingFederate作为IDP,并使用SP发起的SSO和重定向后绑定。我正在使用kerberos适配器来实现SSO。 我已经将Kerberos适配器配置为使用“e-gle.com”域,并在配置中提供了KDC详细信息。我还在域控制器中正确添加了Pingfederate服务器的"setspn“。但是,当我使用有效的“e-gle.com”用户登录计算机,并使用"https://hostname.e-glue.com:1912/openam/saml2/jsp/spSSOInit.jsp?idpEntityID=ent-0
浏览 30提问于2019-09-18得票数 0
回答已采纳
2回答
我从理论上了解了SAML2.0在IdP发起和SP发起的模型中是如何工作的。有人能告诉我SAML1x是如何工作的吗?我没有看到任何关于SAML 101的适当材料。
我有一些基本的问题。什么是SAML 101、SAML 1.0和SAML 1.1?这些版本之间有什么区别吗?
浏览 4提问于2017-03-06得票数 3
好的,我的系统是一个SAML2 SP。我们已经在SSOCircle (public saml idp test harness)上进行了测试,它可以正常工作。
现在,我们正在尝试与一位客户(他是一名IdP)进行设置。我的问题是,如果我们正在进行IdP发起的单点登录- IdP是否需要对SP可见?(无法通过web访问idp )或者,只要IdP可以发布到SP,这无关紧要吗?( SP是公开可见的)。
我的假设是它不会。对吗?
浏览 0提问于2016-07-21得票数 0
回答已采纳
我的意思是,我可以在没有注册服务提供者的情况下向IDp发送SAML请求到IDp吗?我的雇主希望在JAVA中与服务提供者和身份提供者一起开发一个示例应用程序,因此服务提供者将发送SAML2.0 authrequest请求/响应身份提供者。因此,我已经从.this示例下载了示例应用程序,它将使用ssocircle作为idp,并使其工作良好。
在这里,我们必须在provider.But中导入元数据,在此,我的雇主不希望服务提供者依赖于IDP.So,基本上他希望服务提供商与任何idp进行SAML2.0请求的通信,而服务提供者不应该依赖于IDP,.service提供者会向任何IDP发送自请求,而idp会
浏览 7提问于2016-08-31得票数 1
回答已采纳
我还没有找到如何在wso2 identity server中为基于SAML2的身份联合配置“信任圈”。
我的方案是只有一个IDP和一个SP,并创建一个“信任圈”并测试用户帐户链接。
浏览 0提问于2014-01-30得票数 1
我只想知道是否可以在同一台机器上配置simplesamlphp、IdP和SP。如果是这样的话,如果有相同的配置步骤,那就太好了。
上面是原来的帖子。经过几个小时的工作后,下面是simplesamlphp在同一台机器(在不同文件夹下)中使用SP和IdP的工作配置:
SP配置
IP地址: 10.209.122.151
文件夹: /var/simplesamlphp (通过Alias /var/simplesaml访问)
配置:
config/config.php:
'baseurlpath' => 'simplesaml/',
浏览 2提问于2017-05-22得票数 4
1回答
到目前为止,我所知道的是,要启用任何应用程序SSO,必须有身份提供者参与SSO游戏。因此,直接依赖于IDP,因为SP需要“知道”是谁。SP是否有一个通用的saml通信机制,可以与我的客户正在使用的任何IDP一起工作?或者我需要基于客户支持的IDP构建不同的saml通信器?
原因:我们公司的一位客户正在为其员工使用Okta,希望我们启用我们的应用程序Okta,这样它的员工就不必再记住我们站点上的凭据了。这很好。现在,如果有其他客户提供其他IDP (例如PingOne),我们是否需要再次工作才能启用xyz?或者我们现有的实现将通过仅仅增加国内流离失所者url而以同样的方式工作?让我知道,如果我错过
浏览 2提问于2017-03-22得票数 1
回答已采纳
1回答
我在SAML2SSO的IdP端工作,作为Idp,我们应该向SP发布一个断言,它将是IdP发起的。断言中有一个名为x509certificate的字段。我的第一个问题是,这个字段是公钥本身还是由CA (证书颁发机构)签名的公钥?我的第二个问题是,如果它是由CA签名的公钥,那么自签名是安全的,还是由真正的CA签名更好?我的第三个问题是,我们为SP提供IDP元数据更好,还是在任何断言请求中都有证书更安全,或者两者兼而有之?谢谢
浏览 0提问于2015-10-17得票数 0
我正在探索SAML身份验证的不同绑定类型。以下是我的理解:
SP将向IdP发送一件艺术品,而IdP将向SP发回相同的伪件。这是在SP和IdP之间创建一个握手。
SP现在将通过反向通道响应实际的SAML,该SAML对应于工件。
但是,如果使用IdP启动的工件绑定,IdP是如何知道以下内容的:
要投票给哪个SP?
什么时候投票SP?
属性断言SAML消息位于SP端。那么,IdP如何在没有SP事先通信的情况下知道相应的伪制品呢?
浏览 3提问于2016-11-24得票数 1
1回答
我会将simplesamlphp设置为3种不同的虚拟主机到本地主机。
1. http://idp-saml.com
2. http://sp-saml.com
3. http://api-saml.com
当我试图使用idp-saml.com连接sp-saml.com时,它工作得很好。
现在,我想将它与我自己的应用程序api-saml.com集成起来。
为此,我将遵循以下步骤:
在‘authsouce es.php’上为sp-saml.com创建"authsouce“。'sp1' => array( 'saml:SP',
浏览 0提问于2018-07-30得票数 2
我们有一个大型的迁移项目,其中单点登录是用SAML2实现的。一个WebLogic 10.3.6容器充当身份提供者(idp),所有其他weblogic容器都配置为服务提供者(sp)。我们希望保持该场景不变。新的或迁移的应用程序使用单点登录场景,WSO2作为身份提供者,OAuth2用于单点登录服务。
有没有可能在WSO2中将旧的( weblogic ) SSO定义为受信任的idp,并使用SAML2和OAuth2实现整体SAML2场景--保持weblogic和sp不变?
如果这不可能,另一个解决方案可能是从旧的场景中提取idp,并将WSO2配置为SAML2 idp和OAUth2服务,反之亦然,交换/
浏览 0提问于2018-04-11得票数 0
我有一个类似于的问题,但它遗漏了一些我想澄清的部分。
SAML配置文件规范描述了几种可能的绑定,并声明使用取决于SP和IdP设置。
SAML一致性和概要文件规范标识了可以合法地与这两条消息一起使用的SAML绑定。具体来说,可以使用、HTTP绑定或HTTP绑定从SP向IdP发送身份验证请求消息。响应消息可以使用HTTP绑定或HTTP绑定从IdP发送到SP。对于这对消息,SAML允许在选择使用的绑定时不对称。也就是说,可以使用一个绑定发送请求,并且可以使用不同的绑定返回响应。决定使用哪些绑定通常由IdP和SP系统中的配置设置驱动。在选择绑定时必须考虑诸如潜在消息大小、是否允许标识信息通过浏览器传
浏览 1提问于2016-07-29得票数 0
回答已采纳
1回答
目前,我有一个依赖于SAML身份提供者的SP。它还支持用户直接登录到SP。用户可以直接登录,或者用户可以从SP开始,并被重定向到SAML身份提供程序进行身份验证。
我计划将SP转换为使用OIDC和IdSrv4,而根本没有SP托管凭据。我仍然希望支持SAML提供者,但理想的情况是通过新的OIDC IdP。将这个新的OIDC IdP添加到SAML流中的正确方法是什么?我是否:
让SP和SAML进行通信,然后将SAML响应传递给IdP进行翻译(这似乎不正确,也不容易被滥用)
将SP重定向到OIDC IdP,并使用一些上下文来了解SAML。然后OIDC IdP处理SAML响应,并通过常规的OI
浏览 3提问于2019-10-24得票数 0
回答已采纳
1回答
SAML 2.0到OAUTH
、、、、
我正在使用同时支持Oauth和SAML的IDP
USER ---->SP--Oauth-->IDP--Oauth-->google(oauth2)
上面的流程在我从google登录系统的地方工作得很好。
现在想要实现的是
User ------>SP----oauth--->IDP---SAML--->Another IDP
现在我的问题是。有没有可能...?如果是,请给我提供一些如何实现这一目标的指南。如何实现相同的IDP发起流程。提前感谢
浏览 2提问于2017-01-05得票数 0
2回答
我有点理解基本的SAML身份验证应该如何工作:
SP上的用户请求资源
SP向IDP发送auth请求
对用户进行身份验证并发回一些userId。
SP使用userId向IDP发送属性查询以获得其他详细信息。
IDP发回属性
SP给出用户资源
我的问题是,你能绕过AttributeQuery吗?当我向我的测试Gluu/Shibboleth服务器发出SAML2.0请求时,我会得到givenName (名字)和sn (姓氏)。无论如何,我可以只在inum?中请求用户id和电子邮件。
我的要求很简单:
<samlp:AuthnRequest xmlns:samlp="urn:oasis:n
浏览 7提问于2016-03-08得票数 5
回答已采纳
我目前正在实现Spring来配置我的SAMl。我从IDP收到了一个元数据XML,并将其放在元数据文件夹中。1.现在启动时,我得到的异常是没有配置的IDP,因此发现它是由于证书无效。现在,我只需将证书导入samlKeystore.jks,并将metadataTrustCheck = false放在ExtendedMetadataDelegate bean中,这就帮助我启动SP而没有任何错误,我正在将IDP重定向到SP,我可以实现我所需要的。
现在,我刚刚删除了IDP提供的samlKeystore.jks提供的证书,并重新启动了应用程序,这样IDP和SP之间的通信也就没有问题了。
我现
浏览 0提问于2015-07-03得票数 5
回答已采纳
几天前,我下载了java-saml-2.0.1,希望通过我的(SP)应用程序中的SAML来使用它来实现SSO。我实际上不是一个Java (我是C#),但是我仍然在做这方面的工作。也很少熟悉SSO/SAML,所以请原谅愚蠢的问题。
1)如何将依赖项添加到项目中?我把这个放在我的POM.xml文件中。够了吗?
<dependency>
<groupId>com.onelogin</groupId>
<artifactId>java-saml</artifactId>
<version>2.0.0<
浏览 3提问于2017-03-29得票数 1
回答已采纳
3回答
验证没有中间证书的签名
、、、、
是否可以验证只有在层次结构中具有祖先或根证书的签名?
免责声明:我是处理证书的新手,所以请原谅这个幼稚的术语。
考虑以下情况。
我们有两方(身份提供者称为 IdP ,服务提供者称为 SP )和中央证书颁发机构CA,这两个认证机构肯定都受到IdP和SP的信任。
CA拥有自己的证书CertCA,这是IdP和SP都知道的(导入到IdP和SP的密钥存储库中,使用某种别名)
Out CA为IdP (CertIdP)颁发一个证书,为SP (CertSP)颁发一个证书。
IdP的keystore中有CertIdP,并且知道密码,这样IdP就可以用CertIdP签名消息。
SP/Cert
浏览 2提问于2014-07-23得票数 8
回答已采纳
2回答
重用SAML断言
、、
我正在用多个SPs实现单点登录。以下是我的基本理解:
1)浏览器(用户)向服务提供商(SP)请求资源。
2) SP将(带有SAML请求)重定向到身份提供者(IdP)。
3)由于它是第一次登录,用户会给(IdP)他/她的有效凭据。
4)然后IdP将浏览器(包含SAML令牌的SAML响应)重定向到SP页面。
现在假设我有服务提供者A和服务提供者B。一个用户已经完成了服务提供者A的步骤。从服务提供者A(在我的场景中是salesforce.com)开始,我已经编写了一个服务器端方法,它实例化了对服务提供者B上的端点的标注。在这种情况下,可以重复使用SAML断言吗?也就是说,服务提供者B会信任后端方法吗
浏览 3提问于2015-01-27得票数 2
1回答
我是SP,想要验证来自IdP的签名。IdP告诉我,我们的SP不信任IdP的证书。
根据我的理解,这种情况会发生:
SP-> SAML request digitally signed with private key of SP
IdP-> SAML request gets verified with public key of SP (from metadata)
IdP-> SAML response signed with private key of IdP
SP-> SAML response gets verified with public key o
浏览 5提问于2021-09-07得票数 0
在我对SP-init和IDP-init SSO的理解中,如下所示:
IDP-init SSO: IDP生成base64编码的saml响应并发送到SP,然后SP验证该响应,最后如果响应有效,则用户登录到应用程序。
SP-init SSO:从SP向IDP发送saml请求,然后IDP将对用户进行身份验证,然后发送回saml响应,下一部分与IDP-init SSO相同。
我们如何决定SSO是使用SP-init还是IDP-init?由于身份验证部分的存在,SP-init似乎比IDP-init SSO更安全可靠。
浏览 0提问于2015-03-26得票数 3
回答已采纳
1回答
SAML拦截单信号
、、、、
我正在研究SSO的一些新用法。基本上,我试图找到如何拦截SAML请求的方法,该请求是从服务提供者发送给身份提供者的,使用某种IdP代理或第三方服务,它将保存SAML请求,并将为用户提供一些附加功能。所需的过程可能如下所示:
例如,用户从SP -单击Login按钮调用SAML请求。
用户被重定向到第三方服务,例如,小型调查(这是理论示例)。
提交调查后,用户将被重定向到IdP,并应继续登录。
我在SimpleSAMLphp和配置联邦方面有很好的经验。但是,我试图找到一些关于这类拦截的有用信息,但失败了。我添加了一个解决方案的超级基本图片。(请不要笑:)
SAML支持任何这类处
浏览 3提问于2013-09-25得票数 3
回答已采纳
我对这些系统的了解并不多,所以如果我问了一些愚蠢的问题,请原谅。
我希望做到以下几点:
Idp (AD FS 2.0) -> SAML 2.0 -> Sp (simpleSAMLphp)
*除了简单地验证用户身份之外,我不需要任何更花哨的东西。
我尝试使用AD FS 2.0 (域A)将Windows Server 2008配置为身份提供商,并让它处理来自不同域(使用simpleSAMLphp (域B)创建)上的服务提供商的身份验证请求。
AD FS 2.0管理应用程序允许我从SP添加原始元XML以配置idp。我的SP也有同样的功能。因此,我认为如果我正确设置了idp (AD FS
浏览 3提问于2010-11-12得票数 1
我设置了PingFederate IdP,并希望对基于SimpleSAMLphp的SP启用单点登录。PingFederate配置要求使用POST绑定发送SAML请求,并将LogoutRequest作为POST请求发送。SimpleSAML在默认的HTTP-Redirect绑定中向SignOnService发送SAML请求。我尝试通过以下方式更改saml20- idp -remote.php中的idp绑定:
'SingleSignOnService' => array(
0 => array(
浏览 3提问于2015-02-18得票数 1
我不知道下一步去哪里,所以我将在这里发布我的问题,因为我已经在这个问题上看到了一些相关的问题。不幸的是,提供的解决方案在我的情况下不起作用,我不知道应该尝试什么。
下面是一些背景知识:我有一个使用ADFS系统进行身份验证的NodeJS/ExpressJS/passport-saml应用程序。这个问题的SSO部分工作得很好,但我似乎不能让SLO部分工作。
发生的情况是,当我启动SP启动或IdP启动的注销时,它在第一个SP上挂起。第一个SP已正确注销,但随后被重定向至第一个SP的登录页面,并一直等待输入凭据,从而有效地停止了必须发生的重定向链。
到目前为止,我已经尝试了很多,包括在我的SLO AD
浏览 3提问于2020-04-05得票数 0
2回答
我尝试在本地安装一个SP和一个IDP,所以我创建了另一个主机:
127.0.0.1 localhost
::1 localhost
127.0.0.1 auth.saml.net
我创建了两个虚拟主机(一个用于SP,另一个用于Idp)
<VirtualHost auth.saml.net:80>
ServerAdmin toto@gmail.com
ServerName auth.saml.net
AddDefaultCharset UTF-8
Alias /simplesaml c:/wamp/w
浏览 4提问于2015-05-28得票数 1
回答已采纳
当我试图连接到一个网络封saml端点时,我得到了以下错误
我的服务器是作为SP安装的,我正在尝试验证saml20 20- IDP -emote.php中设置的对和idp的身份验证。
重定向工作正常,但是当IDP重定向回我的SP时,我得到以下错误。
SimpleSAML_Error_Error: UNHANDLEDEXCEPTION
Backtrace:
0 /mnt/www/html/livehappierstg/simplesaml/www/module.php:179 (N/A)
Caused by: SimpleSAML_Error_Exception: Error validating
浏览 2提问于2016-04-24得票数 0
回答已采纳
我继承了这一点,并坚持这种做法。我只是想弄清楚它是否真的会起作用。
该项目涉及您的标准asp.net web应用程序与安卓和ios客户端。诀窍在于身份验证。应用程序是为第三方提供的,而用户从外部世界获得身份验证的唯一途径是使用他们的IDP。第三方并不关心用户经过身份验证后会发生什么。我所要做的就是前团队成员创建的架构图。该图表有3层。用户/移动设备、SAML SP Web应用程序和客户端IDP。流动的重要部分如下:
移动应用程序使用IDP用户名和密码调用SAML应用程序。
SAML使用用户的凭据调用IDP登录
用户认证?成功响应SAML SP Web应用程序和SAML断言/令牌
浏览 2提问于2016-03-31得票数 1
回答已采纳
1回答
我尝试在WSO2上使用SAM2承载oAuth实现单点登录机制。
IDP user call WebAPP1WebAPP1 (SP)重定向IDP登录页面上的用户(OpenAM)WebAPP1 (SP)使用SAML2呼叫oAuth服务器(WSO2 IS或AM)以获取oAuth token
在这一步,SAML(或AM)会失败,并显示错误:“WSO2断言受众验证失败”。
我不明白为什么,因为我的SAML2中设置的发送到oAuth服务器的受众值与is或AM上的“受信任身份提供商”中定义的值相同
我不明白为什么..。请帮帮我!
尼古拉斯
浏览 1提问于2013-11-29得票数 0
当尝试通过SAML联合将SP(Cognito)与IdP (Azure AD)集成时,
Azure AD SSO SingleLogoutService在联盟元数据中没有POST绑定。它只有urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect.
我们应该如何在元数据中添加urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST。我已经查看了Azure文档,但没有找到。
虽然我已经尝试集成ADFS,但ADFS元数据同时具有HTTP-Redirect和HTTP-POST。来自IdP的SAML注销响应将作为POST发送
浏览 9提问于2019-10-24得票数 2
设想情况:
浏览器(用户)从服务提供者(SP)请求资源。
SP将(带有SAML请求)重定向到标识提供者(IdP)。
由于它是第一次登录,用户会给(IdP)他/她的有效凭据。
然后,IdP将浏览器(包含SAML令牌的SAML响应)重定向到SP页面。
我有两个问题:
在步骤4中,浏览器是否存储或缓存SAML响应和/或SAML令牌?
如果是,什么样的东西(属性?暂停?协议?)阻止我拿走存储的SAML令牌。然后将其处理到另一台计算机(使用新会话),并使用该令牌登录到同一个SP?
浏览 11提问于2012-11-20得票数 27
回答已采纳
传统上,用于身份验证的SSO SAML请求工作如下:
用户代理将请求发送给请求某些资源的SP。
SP向IdP发送SAML身份验证请求。这可以使用HTTP-重定向302或303完成
IdP对用户进行身份验证(如果没有这样做的话..)并将SAML响应发送回SP。如果这一段使用HTTP绑定,则响应是通过用户代理作为表单从POSTed到SP的。
SP读取SAML响应,then...it做它想做的任何事情,不管绑定是什么。
在理解step#3方面,我遇到了一些问题。
当IdP发送一个SAML响应时,它不应该将它发送回用户代理吗?因为这就是请求的来源。如果浏览器向服务器发出请求,服务器必须向用户浏览器返回
浏览 0提问于2022-08-28得票数 0
回答已采纳
我正在尝试在SAML2 (5.1.0)上设置我所称的wso2is启动链。下图:
website.com (sp) <--saml2 idp init-- (idp) wso2is (sp) <--POST saml2 idp init-- (idp) 3rdPartyIDP
这个想法是,第三方想要做一个IDP启动的POST saml2调用来对我们的内部网站进行身份验证,但是每当进行saml2调用时,wso2只是显示website.com sp的登录页面(在wso2is上)。目前,我已经与3 3rdParty IDP和其他允许SP启动saml的国内流离失所者进行了高级身份验证设置,它
浏览 4提问于2017-02-16得票数 0
回答已采纳
我正在阅读SAML规范,并对Keycloak和Shibboleth IdPs进行了实验,我不知道如何在SP启动的登录中实现一个特性。
我有一个传统的服务,它的登录页面显示SP状态信息(例如,应用程序版本,状态)。在切换到使用IdP登录页面之后,我想继续在IdP的登录页面上显示这样的每个SP的附加信息。我对数据交换感兴趣,而不是对登录页面本身进行模板化。
SAML2.0规范是否允许向IdP发送任意数据以进行登录?如果不是,还可以使用SP生成的数据来装饰IdP登录页面吗?
浏览 0提问于2019-07-02得票数 4
回答已采纳
由于SP和IDP之间的通信通过客户端的web浏览器(SAML HTTP POST配置文件)进行,SSL是否在客户端浏览器上解密,然后再次解密发送到SP或IDP?
如果是,SAML令牌在这一点上很容易被窃取?我们能做些什么来防止它呢?
如何防止令牌重放?(在设置SAML之前和之后配置的基础上)
SAML令牌是否仅由SP使用一次?我们可以在IDP发送令牌后立即使其过期吗?
浏览 3提问于2015-08-24得票数 0
我有带有Owin的示例WebForms应用程序。尝试使用Azure AD IdP进行SAML2身份验证。它工作良好,用户在应用程序中注册并认证。
现在我需要使用其他IdP。所以我改变了我的申请什么都没有。Saml响应包含成功,因此IdP对我进行了验证。但是调用Context.GetOwinContext().Authentication.GetExternalLoginInfo()返回null。
我发现了一些关于“外部cookie”的帖子,但我不认为这是我的问题,因为Azure示例工作得很好。切换到其他IdP失败。
似乎只有SAML Xml格式不同。Azure返回
<samlp:Resp
浏览 2提问于2018-12-26得票数 0
回答已采纳
1回答
SAML保护资源
、、、
我试图使用SAML保护资源。有三个参与者在发挥作用:身份提供者(IDP,超出我的控制范围),服务提供者(SP,我碰巧在使用spring-security-saml,但这个问题并不是特定于此),以及受保护的资源(PR,SP之外的服务中的一些受保护的端点)。
我需要支持两种情况:
用户第一次尝试访问PR,没有任何类型的会话。
用户尝试再次访问PR,当他们之前已经访问了它。
对于场景1应该如何工作有足够的指导,因为从我看到的情况来看,它是使用SAML的标准方法。但是,场景2似乎不那么标准,我还没有找到任何关于应该如何处理它的明确文档。
在场景1中,流程似乎是标准的:
用户访问PR
浏览 2提问于2020-11-02得票数 0
我正在阅读spring安全saml文档站点:。
我只是很难理解pkix配置文件是如何工作的。
据我理解,当idp发回saml响应时,它将签署响应以显示消息的有效性。
在metaiop中,SP将使用idp元数据中的密钥来验证响应签名。
Pkix似乎是metaiop的一个扩展,它将完成metaiop的检查,并且:
在远程实体的扩展元数据集的trustedKeys集中指定的所有键,或者在属性为空时在密钥存储区中可用的所有键(默认值)
我只是不明白上面的说法,这里提到的关键商店是什么?本地的密钥商店?
我希望有人能帮我洗干净。
浏览 0提问于2017-07-02得票数 0
回答已采纳
我们用mod_auth_mellon配置了SPA,SP启动的设置工作得很好。现在,我们希望添加动态路由到SAML的功能,SAML启动了SAML调用。
下面是当前的流
用户打开URL
会话已过期,因此SP发起SSO握手,并将用户重定向到IDP (Ping Federate)。
在IDP上和成功身份验证后的用户登录被重定向到
在步骤(3)中,我们现在要重定向到。我应该在SP / IDP配置中进行哪些配置更改以启用动态路由?
浏览 6提问于2017-10-11得票数 0
2回答
Shibboleth如何保证第三方不能访问IdP和SP之间交换的SAML2.0断言中包含的用户属性?
当从IdP传输到SP时,所有用户属性都是加密的,这是正确的吗?用户属性是否被包含在断言中但使用SP的公钥加密的对称密钥加密?
浏览 0提问于2012-08-21得票数 5
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
