如果颁发者和身份提供者ID不同,如何启用SSO严格模式?
在云计算领域中,如果颁发者和身份提供者ID不同,可以通过以下步骤启用SSO(单点登录)严格模式:
- 确定身份提供者(Identity Provider,IdP)和颁发者(Service Provider,SP)的身份验证方式和协议。常见的身份验证协议包括SAML(Security Assertion Markup Language)、OAuth(Open Authorization)和OpenID Connect等。
- 配置身份提供者(IdP)和颁发者(SP)之间的信任关系。这包括在身份提供者和颁发者之间建立相互信任的证书、密钥等安全凭证,并确保双方能够正确地解析和验证对方的身份信息。
- 在身份提供者(IdP)中配置SSO严格模式。具体配置方式可能因不同的身份提供者而有所不同,但通常包括以下步骤:
- 配置身份提供者的身份验证策略,要求颁发者(SP)验证用户身份时必须使用严格模式。
- 配置身份提供者的身份令牌(Token)生成规则,确保生成的令牌包含必要的用户身份信息和属性。
- 配置身份提供者的身份令牌传输方式和加密方式,确保令牌在传输过程中的安全性。
- 在颁发者(SP)中配置SSO严格模式。具体配置方式可能因不同的颁发者而有所不同,但通常包括以下步骤:
- 配置颁发者的身份验证策略,要求验证用户身份时必须使用严格模式。
- 配置颁发者的身份令牌解析规则,确保能够正确解析和验证来自身份提供者的身份令牌。
- 配置颁发者的访问控制策略,根据用户的身份信息和属性对资源进行访问控制。
- 测试和验证SSO严格模式的功能。在配置完成后,进行一系列的测试和验证,确保SSO严格模式能够正常工作。这包括模拟用户登录、访问受保护的资源等操作,以验证用户身份能够正确传递和验证。
推荐的腾讯云相关产品:腾讯云身份提供者(Tencent Cloud Identity Provider,TCIDP)和腾讯云访问管理(Tencent Cloud Access Management,TCAM)。
- 腾讯云身份提供者(TCIDP):是腾讯云提供的一种身份提供者服务,支持SAML和OAuth等身份验证协议,可以与其他腾讯云产品集成,实现单点登录和身份管理的功能。了解更多信息,请访问:腾讯云身份提供者产品介绍
- 腾讯云访问管理(TCAM):是腾讯云提供的一种访问控制服务,可以帮助用户管理和控制对腾讯云资源的访问权限,包括用户身份验证、权限分配和访问控制策略等功能。了解更多信息,请访问:腾讯云访问管理产品介绍
相关·内容
关于通过tapkey令牌交换检索访问令牌:
假设我在Tapkey上注册了两个身份提供者,它们使用相同的公钥:现在我向:POST https://login.tapkey.com/connect/token发出请求,在请求体中包括client id和provider。
是否可以安全地假设,我将只检索身份提供者的用户的访问令牌,这是在请求正文的provider中定义的?正确的身份提供者是由provider选择的,而不是由我发送用于交换的jwt-token的签名选择的,对吗?
浏览 6提问于2021-10-26得票数 2
客户端有2个网站(site1.com,Site2.com)和一个windows应用程序。两个网站都对存储在sql server数据库中的用户数据使用表单身份验证(每个网站使用不同的数据库)。Windows应用程序使用Windows标识(AD)对使用进行身份验证。而且在不久的将来可能会增加更多的网站/应用程序。
客户希望为其所有应用程序实现单点登录。他们希望将SSO服务构建为一个组件,能够以较低成本插入到任何网站/应用程序中。
由于所有网站/应用程序都有自己的用户存储,因此我们可以使用WIF开发SSO组件。我已经读到了WIF,但无法确定每个网站/应用程序和SSO服务的责任。如何在STS中使用SA
浏览 1提问于2014-05-28得票数 0
我正在试图弄清楚我的服务器如何检查用户以前是否通过SSO身份验证与某个第三方身份提供者(例如: Facebook)登录。
看看,有两种说法让我印象深刻:
iss - "iss“(发行者)索赔确定了发行JWT的主体
sub - "sub“( subject )索赔标识了JWT的主体。
如果一个现有用户随后再次通过Facebook登录,我能保证这两项声明是相同的吗?换句话说,我可以将这两个值存储在数据库中吗?当用户再次通过Facebook登录时,我可以查询这些值并确认s/他已经存在了吗?
作为比较,我知道SAML使用的联邦ID对于每个用户来说总是一致的。OpenID
浏览 1提问于2020-01-03得票数 0
回答已采纳
我最近安装了WSO2 (5.6.0)和APIM (2.5.0)。
然后,我尝试将两者集成在一起,这样就可以使用IDP,而APIM可以使用SSO登录。
我根据这个链接()做了修改
事情看起来很好,我正在访问网址登录,我得到的是登录页面。然后我输入用户名和密码,它也进行身份验证,但是在浏览器中我得到了以下错误:
处理身份验证请求时出错!请再试一次。
下面是后端的日志:
调试{org.wso2.carbon.identity.sso.saml.validators.SSOAuthnRequestAbstractValidator} -线程本地租户域设置为: carbon.super 2019-02-
浏览 0提问于2019-02-17得票数 0
目前,我正在使用基于SSO(单点登录)的主用户存储- LDAP的用户身份验证。我想改用基于租户的身份验证,使LDAP身份验证保持活动状态。这两者能协同工作吗?我没有从WSO2找到任何关于这方面的文档。
浏览 0提问于2020-02-10得票数 0
我建立网站和认证/帐户管理系统。在我们的数据库中,我们有一个用户表(概念上)
TABLE: USER
id | name | email_address (unique)
====|===========|=========================
88 | Ben Ghazi | bgazi@gmail.com
我们希望允许谷歌的单点登录。因此,我们添加了一个数据库表,(概念上)如下所示:
TABLE: SSO_LINK
id | our_account_id | sso_provider_name | sso_provider_account_id
====|
浏览 4提问于2022-02-07得票数 1
2回答
单点登录(SSO)正在我工作的应用程序上实现,我必须保证这一点,确保不会因为上述实现而中断。开发方告诉我们,这与用户身份验证有关,必须测试基于会话和基于API的身份验证。
有些测试用例是什么?如何有效地测试此实现?
浏览 0提问于2017-07-04得票数 3
2回答
SSO会话超时工作不正确
、、、、
我正在尝试使用WSO 5.1.0配置会话超时。
我有一个服务提供商,它有10分钟的会话超时时间。
我已经将sesison配置为在WSO2中使用 on 驻留身份提供者部分的10分钟。
我不知道为什么,但是全局配置(<IS_HOME>/repository/conf/identity/identity.xml file under the <TimeConfig> element)不能工作。
在本地会话超时之后,用户被重定向到SSO登录页面,因此似乎全局会话无效。但是,如果您在浏览器中键入应用程序url (再次),用户将被重定向到登录页,自动重新身份验证,然后重定向到上次访
浏览 15提问于2016-04-29得票数 8
回答已采纳
2回答
我们有4个应用程序。我们希望在这些应用程序中实现SSO。我对此有几点怀疑。有人建议我们使用opensaml。
问题1:
用户输入的用户名和密码由客户端(不包括前端)发送到中间件,然后中间件将这些信息发送到SSO服务器,那么在这种情况下,用户是主体吗?中间件是服务提供者吗?SSO服务器是身份提供者吗?
问题2:
现在,当用户登录其中一个应用程序时,我们应该连接到身份提供商以启动SSO,我们应该向SSO服务器发送哪些参数(必需)??
问题3:
当从单点登录服务器获得响应后,中间件是否应该保留令牌以供将来参考?
问题4:
现在,如果另一个用户访问了另一个应用程序,则应该确定正在运行sso。如何识别这
浏览 5提问于2013-06-22得票数 1
回答已采纳
我正在尝试使用SAML SSO配置Websphere 8.5.5。我正在关注这篇文章。
步骤1是通过“使用身份提供者的元数据添加身份提供者”完成的。
我在步骤2c被卡住了。我应该使用什么外部领域?我假设它是外部IdP域。但是哪里能找到它的名字呢?
浏览 8提问于2017-01-16得票数 0
我在Amazon云中的Apache / Ubuntu的一个安全实例后面有一个私有Docker注册中心。Apache通过Shibboleth模块(单点登录)处理企业身份验证。因此,在成功的身份验证之后,使用web浏览器在注册表中搜索和删除容器图像没有问题。但是,命令"docker “(包括用户名、密码和来自不同服务器的电子邮件)只是挂起,没有响应。不幸的是,即使在调试模式下,Apache、docker注册表和shibboleth日志也没有多大帮助。
我将非常希望听到任何在通过Apache & shibboleth保护私有码头注册中心方面有经验的人,在那里需要企业ID和SSO。
浏览 2提问于2014-07-25得票数 3
回答已采纳
2回答
与多个SSO的集成
、、、、
目前,我们有一个通过开放Id协议与SSO集成的web应用程序,然后我们有了另一个客户端,它拥有自己的SSO,需要我们通过SAML协议与他们的SSO集成,这样他们的员工就可以验证和使用我们的站点,然后另一个客户端又来了另一个SSO (SAML协议)。
快速解决方案,我们把站点分成3个不同的站点,每个站点都集成了一个不同的SSO,是的,它非常快,但是现在我们需要维护三个站点,而不仅仅是一个。
我正在寻找的是将这些站点合并为一个,并与多个SSO集成。我已经搜索了类似的东西,但我找到的所有解决方案都是为每个SSO创建不同的登录按钮,并通过它进行重定向和身份验证。
但我们的客户拒绝该解决方案,因为他不需
浏览 0提问于2019-04-04得票数 4
1回答
最著名的SSO工作流要求身份提供者提供登录页面/表单,例如Google对其服务的身份验证。
其中的一个例子是:简单SAML SSO工作流
但在我的例子中,我有很多应用程序,每个应用都有自己的登录表单。因此,必须执行GET请求才能获取常见的登录表单,这会破坏UI体验。在我的例子中,我已经实现了用于登录的表单。
是否有一个工作流允许我维护登录页面,但仍然有一个用于SSO/公共身份验证机制的通用方法?
解决这一问题的办法是加倍努力:
我的意思是,应用程序和用户都有凭证,因此在登录期间,我只发送应用程序凭据,与用户凭证一起,我得到一个普通的承载令牌。但是我有完全在Javascript或Android中
浏览 0提问于2022-03-14得票数 0
1回答
我正在做一个客户端项目,其中涉及创建三个单独的网站,目的是在SSO下将它们统一起来--所以,一次登录可以让您访问所有三个网站。这三个网站也将消耗一个内部数据API,所以我们计划在一个单独的数据服务器。因此,需要分离身份验证和数据服务。
我的问题是-数据和身份验证服务应该来自同一个API吗?是否有有意义的理由将身份验证和数据保持为单独的服务?还是将认证和数据分离会增加复杂性,而不会带来任何回报?我倾向于将它们合并成一个单一的来源,但由于我在这方面的经验有限,我不完全了解所涉及的风险(如果有的话)。
在过去的几天里,我还没有找到关于这个主题的相关阅读--我发现的有关SSO安全问题的所有材料更多的是
浏览 9提问于2022-11-23得票数 0
我开发了许多内部应用程序/网站为我的工作使用我们的标准SSO。它使用SAML2,并有几个不同级别的安全性可用。
我们有供应商正在使用它作为我们的内部CMSs之一。基本上,你必须签署进入SSO每天访问该网站。几乎所有内部站点的每个浏览器都只需要满足一次SSO身份验证(最高级别的站点每次都需要新的身份验证)。供应商/CMS并不在这个级别,它只是具有基本的SSO身份验证。
因此,我对供应商站点做了一些配置更改,并在周末期间进行宣传。我需要在一堆不同的浏览器上检查更改。IE8,IE11,Safari,Android,黑莓,Iphone。
每次我都要登录SSO ..。直到我试试我的iphone。我去网站
浏览 0提问于2015-02-19得票数 2
我们公司有G Suite作为身份提供商。一些用户还使用Azure和Office 365。我们希望能够使用Google帐户登录到Azure广告,然后在Ad中拥有此帐户,并在AD和整个Azure中分配角色和组。我们想要在谷歌等更改密码。
如何设置从Google到Azure的SSO?
浏览 0提问于2020-08-27得票数 1
我们正在尝试在MSTeams Tabs应用程序中实现SSO。我们的SSO将用户重定向到身份提供者的URL以进行身份验证。
我们需要以弹出的形式打开teams选项卡中的身份提供者URL。
我们没有使用MsTeams建议的YoTeams支架,而是在我们的react应用程序中直接使用MsTeams js库,所以我们不想尝试任务选项卡。
浏览 4提问于2022-09-27得票数 0
1回答
选择OpenID连接提供程序
、、、、
我需要用OpenID连接在JAVA中实现SSO。我已经有使用SAML2.0和WSO2作为身份提供者的SSO方面的经验。
我清楚地了解客户端部分,并计划在Security中实现同样的功能。
我的问题是,是否有意义为OpenID连接构建自己的身份提供者?,出于某些原因,我不想使用任何第三方IDP (比如WSO2)。
如果是的话,有什么图书馆可以帮忙吗?如果不是,我能为OpenIDConnect使用的最好的IDP是什么?,当然,WSO2在我的列表中居首位,因为我已经用WSO2实现了SAML,它还支持OpenID连接。
任何经验或建议都是受欢迎的。
浏览 3提问于2017-07-07得票数 0
回答已采纳
2回答
ADFS与Azure AD的差异
我理解ADFS是一个STS (安全令牌服务),因为它向帮助应用程序建立用户身份的应用程序发出令牌。在组织层面,我们的组织使用ADFS和WS协议对组织的所有内部应用程序进行用户身份验证,并实现SSO。
此外,在我们的组织中,我们有Azure AD帐户,我使用Azure AD注册我们的自定义应用程序,每当未经身份验证的用户进入我们的应用程序时,用户将重定向到azure广告登录页面,并必须对自己进行身份验证。成功身份验证后,Azure AD还会发出令牌(ID令牌、访问令牌、刷新令牌)
我的问题是,我是否可以认为Azure AD也是一种STS (安全令
浏览 0提问于2019-04-02得票数 5
1回答
在Spring中可以更改目标端点吗?默认值为/saml/SSO
我需要把它改成/sso。我编辑过
<bean id="samlFilter" class="org.springframework.security.web.FilterChainProxy">
<security:filter-chain pattern="/sso" filters="samlWebSSOProcessingFilter"/>
但不起作用。URL*/sso*被视为需要身份验证的URL,而不是应该接收SAML断
浏览 2提问于2015-04-24得票数 1
回答已采纳
我是SAML新手,完全理解SAML2 SSO流程有点困难。
具体来说,当服务提供者用元素响应资源请求时,元素中的哪些数据标识要由标识提供者验证的主体(即用户)?
例如,在以下AuthnRequest中似乎没有任何标识主体的内容:
<samlp:AuthnRequest
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="identifier_1"
Version="2.0&#
浏览 2提问于2015-09-03得票数 6
回答已采纳
我的SNOWFLAKE数据库启用了SSO登录,当我通过chrome浏览器连接时,SSO连接工作得很好。
当我尝试使用DBeaver (外部浏览器)连接到SNOWFLAKE数据库时,我得到以下错误。
注意:我可以确认我能够看到身份验证(通过浏览器)页面,并且身份也经过了验证。我觉得这个问题发生在浏览器向DBeaver确认身份验证的时候。
有人能帮帮忙吗?
浏览 6提问于2021-11-01得票数 1
1回答
我在我的java ee应用程序中启用了社交登录(Google、Facebook、Twitter),并通过Keycloak进行身份验证。到目前为止,我已经能够直接通过Keycloak对应用程序进行身份验证,并使用以下方法捕获AccessToken:
AccessToken accessToken = ((KeycloakPrincipal) httpRequest.getUserPrincipal()).getKeycloakSecurityContext().getToken();
我是否可以使用此访问令牌来标识用户登录所使用的身份提供商(Google/Facebook/Twitter)?我的
浏览 0提问于2017-09-26得票数 0
我正在使用wso2示例应用程序(saml2 2-web-app-拾取-分派和saml2 2-web-app-拾取-管理器)通过WSO2身份服务器版本5.10.0测试单点登录。
部署很好,在单击应用程序的登录时,它成功地重定向到WSO2登录页面。
用户登录成功,但在下面收到错误。
HTTP Status 500 – Internal Server Error
Type Exception Report
Message SAML2 Response Issuer verification failed
Description The server encountered an unexpect
浏览 2提问于2020-04-25得票数 0
回答已采纳
1回答
在REST上实现SSO
、、、
我有一个REST服务器,它有自己的身份验证方法。我需要向一些第三方应用程序提供一个应该在我的服务器上处理的身份验证解决方案,我不希望它们处理用户的凭据。
经过一些研究后,我发现为了避免使用第三方解决方案作为Auth0,我可能需要实现我自己的身份提供者,这就是我开始感到困惑。
考虑到解决方案只需要授权我的应用程序的用户,身份提供者应该是一个单独的应用程序吗?
SSO将在我的服务器上进行,那么如何将结果传递给第三方应用程序呢?
浏览 0提问于2021-02-25得票数 1
3回答
在SAML SSO设置中,是否可以使用Google Apps作为身份提供者?我计划使用simpleSAML.php,我知道你可以构建身份验证模块,但我想知道是否可以通过provisioning API使用谷歌作为身份提供者来构建身份验证模块?
我们将部署Chromebooks它们还没有与SSO集成,只与Google Apps主用户列表集成。因此,比起像Ping Identity这样的工作,使用Google apps作为我们的身份提供商来验证我们的其他web应用程序会更好。
希望这是有意义的。
浏览 1提问于2012-02-01得票数 4
回答已采纳
2回答
首先,这里是我的环境:
SharePoint 2010 2008标准这是一个VHD在我的本地机器上我连接到我的工作域我还连接到VPN,因为我需要的一些资源<code>H 210</code><code>F 211</code>
因此,我在SharePoint中为SSO提供了一个STS
STS是通过PowerShell cmdlet创建的:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("c:\IdentityServer.
浏览 0提问于2012-06-12得票数 2
回答已采纳
我们需要将企业用户和外部用户(合作伙伴、客户、第三方)验证到同一应用程序中。企业用户将使用Azure AD进行身份验证,我希望他们具有SSO经验。对于外部用户,我考虑使用Azure AD B2C。
该应用程序是用AngularJs + Asp.NET构建的。
对于上面描述的场景,我知道我需要2个不同的Azure AD租户。我计划使用微软新的身份验证库MSAL,但我找不到如何配置2个租户。
对于企业用户和外部用户,推荐的登录方法是什么?
提前感谢您的帮助!
浏览 2提问于2016-10-13得票数 1
我试图在一个为运行在CentOS上的intranet web应用程序服务的企业环境中规划和实现一个SSO解决方案:
公司门户(Drupal后端)
项目管理(Project.NET)
文件协作系统(Alfresco)
Helpdesk (红地雷)
问题追踪(Atlassian Jira)
身份验证是通过LDAP在Active Directory上成功实现的,因为插件对这些应用程序的支持要么是开箱即用的。
考虑到没有任何稳定的本地SSO插件或模块适用于上述所有any应用程序,我倾向于使用Shibboleth部署作为身份提供者和SSO解决方案。由于我不确定这是否适合于特定情况,我想问以下几个问题:
浏览 0提问于2012-11-10得票数 4
我知道SAML是如何用于单点登录(SSO)的。也就是说,从SP重定向到IDP,并从SAML响应/断言中获取用户的身份。
我的问题是:SAML2.0规范是否定义了如何将用户名和密码作为SAML请求XML的一部分进行身份验证?请注意,我不是指单点登录,而是要对用户名/密码进行身份验证。
浏览 0提问于2016-06-07得票数 6
回答已采纳
我在开放id连接中创建了一个SSO,使用Okta作为ReactJS和.NET 5应用程序中的主要身份提供者。问题是,对于使用其他身份提供者(如Azure Active Directory ),应该在Okta门户中进行配置。我想要以这样一种方式来实现它:应用程序可以连接到任何身份提供者,而不需要绑定到一个特定的身份提供者。这个是可能的吗?如果可能的话,请告诉我该怎么做?任何帮助都是非常感谢的。
请注意,我不希望同时连接到不同的身份提供者。
浏览 5提问于2021-10-06得票数 2
回答已采纳
我正在使用wso2的数据分析服务器(DAS)和身份服务器(IS)。我想要登录在DAS和其他产品的wso2在未来的单点登录(SSO)在标识服务器。我遵循这个指令,。当我尝试登录DAS时,系统会将我重定向到IS中的身份验证窗口,但是在正确地写入用户和密码之后,系统会将我发送到DAS,但结果(查看图像)。
浏览 2提问于2016-01-05得票数 2
回答已采纳
最近我一直在寻找有关FIDO (uaf,u2f,fido2)的详细信息,但我不明白一点: FIDO会取代SSO吗?还是两个人一起工作?在认证解决方案方面,应该向客户提供什么建议?等。
使用SSO,我们有身份管理器服务器。有了fido我们就有FIDO服务器。他们必须一起工作还是根本不合作?
请帮我理解一下。
非常感谢!
寻找"fido vs sso","fido或sso“没有提供任何具体的信息。
浏览 8提问于2022-11-30得票数 0
1回答
WIF单点登录与表单认证
、、、
我有基于表单身份验证的现有应用程序。我希望在我的应用程序中启用可选的单点登录。我希望在附加登录页面(login_sso.aspx)上创建,该页面将使用STS对用户进行身份验证,如果用户身份验证成功,那么它将创建一个窗体auth cookie,这样应用程序的其余部分将不发生任何更改地工作相同。在我的听众uri中,我将使用login_sso.aspx页面
<audienceUris>
<add value="https://www.myapp.com/login_sso.aspx" />
</audienceUris>
为此,我必须保持身份验证m
浏览 2提问于2011-12-13得票数 2
我知道将用户名/密码检查委托给外部身份提供者的情况。
现在,让我们想象一下,我有一个有很多客户的合作伙伴。每个客户都有与该合作伙伴的SSO。我希望使用此合作伙伴作为我的身份提供者,并与其所有客户进行SSO。
这有可能吗?
浏览 10提问于2022-10-19得票数 0
我现在正在设置WSO2身份服务器。第一步是在超级租户中使用常驻身份提供者,并将服务提供者设置为SaaS应用程序。到目前为止,这个方法运行得很好。
它的缺点是(1)用户需要通过使用username@tenantdomain模式进行身份验证来登录。它的下一个缺点是,(2)我们不能为每个租户配置登录策略或帐户管理策略。我们只能在全球范围内处理。
出于测试原因,我们修改了authenticationendpoint应用程序,以便在登录时(通过分析relyingParty参数)动态注入租户域。到目前为止,这是有效的,但第(2)点仍然有效。
下一步是为每个租户配置IdP和SP。据我所知,这是摆脱(1)和(
浏览 0提问于2018-06-21得票数 0
1回答
首先,我对SSO登录不太了解,但我必须将它集成到我正在开发的java应用程序中。据我所知,OneLogin开发了一个更易于添加到我们的应用程序中的saml实现。这里的问题是,我不明白我是否可以使用这个工具包与我的公司提供的身份提供者。oneLogin sso实现似乎只能与OneLogin身份提供者一起使用。
有人能给我一点启发吗?
预先多谢:-)
浏览 2提问于2018-06-03得票数 0
回答已采纳
1回答
谁能帮助如何实现单一的登录身份验证(SSO),在侧加载UWP桌面应用程序开放的id连接。
我尝试过使用,它得到身份验证,但它需要重定向URL,这是传递应用调用返回URL使用WebAuthenticationBroker.GetCurrentApplicationCallbackUri(),其中回调URL开始于ms-app://。成功登录后,应用程序将重定向到微软商店。
我也试过WebAuthenticationBroker.AuthenticateAsync(WebAuthenticationOptions.None, authStartURI);,但没有运气。
注:,这是UWP桌面副业应用
浏览 16提问于2022-03-14得票数 0
1回答
我们有一个ASP.NET Web (.Net 3.5)网站应用程序使用表单身份验证。应用程序有不同的自定义身份验证服务,使用不同的SSO方法(例如。( CAS)为验证用户,为不同的客户端实现了这些功能。现在的要求是实现一个基于AD的身份验证服务,而不需要对表单身份验证配置进行核心更改。
我的问题:
如何在.Net 3.5网站中配置SAM
是否可以将用户名和密码从我的登录页面传递到AD FS代理并获得saml响应,而不是重定向到STS?
我的意图是读取自定义属性值(例如。从saml响应中使用number),然后继续进行当前的身份验证模块。有可能吗?
这个问题是基于在的讨论,任
浏览 3提问于2016-04-15得票数 0
回答已采纳
我试图用现代的安全实践来保护API (比如使用令牌旋转的刷新令牌)。
OAuth 2.0被广泛使用,在安全性方面,我宁愿使用标准,也不愿使用自己的角色。
是否有像OAuth 2.0这样的标准,但是对于没有第三方消费者的应用程序呢?
在我们的例子中,我们通过各种SSO提供者(Google、Facebook等)对用户进行身份验证,并使用我们的API注册他们的电子邮件。
目前,我们在每次登录时使用一个长TTL发出一个令牌,但我想切换到一个刷新令牌实现。
有一个类似的问题被问到,建议将OAuth作为原样使用,并将用户视为来自一个应用程序:。
然而,用户不需要验证我们的应用程序才能使用我们的应用程序吗?
浏览 2提问于2022-09-22得票数 0
我成功地为SalesForce和OpenAM启动了SSO。在SalesForce SSO设置中,我使用了身份提供者登录URL:http://localhost:8080/opensso/SSOPOST/metaAlias/idp
此URL接受SAML请求,并为SalesForce创建SAML断言,该断言具有IDP默认登录身份验证。
当我使用自定义身份验证模块URL时,而不是上面的URL。它确实:
它使用自定义身份验证重定向到IDP,执行身份验证并显示IDP主页.。
它不会显示SalesForce主页。我检查了调试日志,它不是为SalesForce创建SAML断言。
可以从IDP创建SAML断言
浏览 1提问于2012-01-10得票数 2
回答已采纳
我们对我们的组织使用SSO身份验证。我们希望使用Jenkins自动部署Mule Maven应用程序。有很多自动化部署的例子,但是都在pom.xml中使用用户名/密码,而这并不能使用SSO身份验证。如何使用SSO自动化部署?
浏览 4提问于2020-08-31得票数 0
回答已采纳
1回答
近几个月来,我们已经成功地将现有的Identity Server3与AAD B2C集成在一起。当然,它是通过遵循注册为自定义身份提供者的。当涉及到身份验证本身时,一切都运行得很好。我们现有数据库(位于Identity Server3后面)中的所有用户都可以使用AAD B2C登录,没有任何问题。正如你可以猜到的那样,一旦他们第一次登录,他们也会成为Azure Active Directory (B2C租户)用户。但是,我们最近也注意到,在我们的AAD B2C租户的用户列表中,它们都没有正确的用户名和源值(见图)。有谁知道我们在Identity Server或Azure AD B2C端(或两者)上
浏览 0提问于2018-08-14得票数 0
我希望你能指导我与我的问题。
我希望为我的Google Apps for Work帐户中的用户创建自己的身份验证方法。目前我正在使用内置的谷歌身份验证,但是我希望用PHP,Phyton或.NET构建我自己的身份验证方法;语言真的不重要。因此,我希望用户转到我将创建的页面,然后他们将需要通过身份验证和登录到谷歌应用程序。
我知道SSO就是这样做的,但是在我的研究之后,我发现关于如何使用Google Apps来实现它的东西很少。我的意思是有像OneLogin等第三方平台的音调,但我想有一些我自己建立的东西。理想情况下,我希望有一些SSO的例子,它与GAFW一起工作,这样我就可以自己弄清楚其余的部分
浏览 0提问于2017-05-17得票数 0
我们在web应用程序中使用了身份服务器V3。我们希望使用相同的身份与sharepoint 2016通信。是否有关于如何为SharePoint2016和Identity server V3实施单点登录的存储库或文档?
浏览 2提问于2016-03-28得票数 0
我安装了DNN,我需要使用windows活动目录中的应用端点,这是RESTfuloauth2.0或saml。我找不到以这种方式进行身份验证的模块,所以我想我需要创建自己的身份验证提供程序。然而,关于这方面的文档似乎非常过时,无论我在哪里查找。我在VS2013中看到了christoc的DNN模块模板,但我不认为这是针对身份验证提供者的。
我可以简单地复制当前的登录提供程序并添加功能吗?如果是这样的话,它会正确地响应使用令牌等的回调吗?
最后,我希望一个站点的用户登录,然后来到这个站点,并且已经用同一个SSO帐户登录了。
我可以用一般的步骤1-2-3来解释,我只是不确定DNN部分的正确方法是什么。
浏览 6提问于2014-07-08得票数 0
回答已采纳
1回答
我试图了解各种SSO技术的工作原理,比如SAML2.0、OpenID连接1.0。
通常,它们以类似的方式通过身份提供者向服务提供者提供令牌(XML,JSON)。
我不完全理解的是这些令牌是如何被保护的,所以没有人可以窃取它并从不同的设备中使用它来获得经过身份验证的会话和模拟。
另外,这些令牌是如何存储的?它们是否作为cookie存储在浏览器中?如果是这样的话,是否有可能窃取一个令牌cookie并使用它来冒充某人?
如何检测到令牌是以未经授权的方式使用的?
我正在寻找一个实用的视图,在建立身份验证或将其用作SSO时,如何保护和表示令牌,因此身份提供者不需要身份验证。
浏览 0提问于2015-09-27得票数 0
回答已采纳
我们正在尝试构建一个应用程序,该应用程序将使用WSO2身份服务器对IDP发起的SSO进行身份验证。
我已经在travelocity.com教程中试用了WSO2IS示例,并且可以理解本地出站身份验证的“默认”身份验证类型使用主用户存储来执行身份验证:
我需要理解的是,如何映射一个UserStore以与特定的服务提供者一起工作,我正在执行启动时的SSO操作?
这是我可以在WSO2管理控制台内管理的东西吗?还是,我需要修改这个webapp应用程序吗?
浏览 5提问于2017-11-01得票数 2
回答已采纳
我正在使用Azure B2C连接到外部OpenID连接身份提供商,我在B2C中创建了一个基本用户流,它可以工作,但只带回了少量声明,因此我需要创建一个自定义策略来将自定义输入参数传递到我的IDP并收集其他声明。 我从SocialAndLocalAccount示例开始,并使用我的IDP的详细信息进行了修改: TrustFrameworkBase.xml(缩短至技术简介+用户体验) ...
Subject
string
UI Loc
浏览 45提问于2021-02-26得票数 0
回答已采纳
我想创建谷歌一样的单一登录应用程序,让我们的一个应用程序的成员到达所有其他应用程序,而不需要签署-再次登录。
但是我找不到正确的方法,我想我缺少了grant_type=authorization_code方法,特别是
(B)授权服务器(通过用户代理)对资源所有者进行身份验证,并确定资源所有者是否授予或拒绝客户端的访问请求。
SSO应用本身就是一个OAuth客户端,具有自己的client_id,所以当用户进行身份验证时,SSO会为这对夫妇(SSO,user)获取一个access_token,并将其存储到SSO的会话中以供进一步使用。
因此,当客户端( "app")需要一个
浏览 0提问于2017-02-28得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
