在SP启动Okta登录时缺少对SAML属性的响应
我正在尝试向现有Okta设置添加新服务。该服务依赖SAML进行身份验证,并对SAML消息进行严格检查。
当Okta会话状态已经存在于浏览器中时,一切正常。Okta SAML响应包含所有必要的属性,以得到验证,一切只是工作。
但是,当使用“干净”浏览器启动新会话时,我的服务无法正确验证Okta SAML响应。响应有效且签名正确,但缺少严格验证所需的InResponseTo属性。
我想知道以前是否有人遇到过这样的问题?Okta中可能存在一些隐藏设置,或者身份验证提供程序中存在一些常见的设置错误?
共有1个答案
您的服务正在抱怨您用于启动SSO流的步骤顺序。在所谓的服务提供商发起的SSO流中,单击指向服务的链接。然后,充当SAML服务提供商(SP)的服务向身份提供商(Okta)发送SAML身份验证请求,然后身份提供商(Okta)使用SAML响应响应此请求。由于身份提供者正在响应来自服务提供者的请求,因此SAML响应将包含InResponseTo元素。
你怎么解决这个问题?这都是关于你的服务,而不是Okta。您需要确定向服务发出的请求的正确URL和/或格式,这将导致服务向标识提供者发出SAML身份验证请求。
有关更多信息,请参阅Okta文档
-
我正在尝试使用SP在OKTA(IdP)中使用我的Windows应用程序(SP)启动登录来设置SAML,但是在IDP验证我的凭据后,我收到了一个400错误的SAML请求。我没有重定向回应用程序URL(SP),而是收到了一个400错误的SAML请求。 我的SP URL-https://sampleapp.company.com/appname/default.aspx 我的SAML ACS URL-h
-
我正在使用Okta设置一个SP启动的SAML2.0应用程序,我不确定中继状态值和受众URI应该是什么。 我的SP URL-<代码>https://sampleapp.company.com/appname/default.aspx 我的SAML ACS URL-<代码>https://sampleapp.company.com/appname/SAML/authenticate.aspx
-
我们有一个使用Spring Boot+AngularJS开发的单个Web页面应用程序,我们希望集成Okta用于身份验证部分。 我在Okta网站上创建了一个开发人员帐户,并使用SAML 2.0配置了一个应用程序 然后,我将Okta Sign-in小部件集成在一个html页面中,如http://developer.Okta.com/code/javascript/okta_sign-in_widget
-
如何从SAML响应中判断是SP启动的SSO还是IDP启动的SSO?是否有一个属性告诉我是谁发起了SSO? 例如,在这个StackOverflow问题中:SP发起的SSO和IDP发起的SSO之间的差异,他们讨论了差异,但没有谈论XML级别本身...... SAML响应如下所示:
-
尽管我们在SAML身份验证请求中发送了签名值,但平联邦服务器会在SP启动的SSO上响应错误签名要求。以下是我要发送给平联邦的请求: 为了更好的可读性,我缩短了签名值和证书。PingFederate用SAML响应拒绝了此请求 以下是PingFederate的日志: 需要帮助我们如何解决这个问题,任何可以在Ping Federate上设置的旋钮/标志,以使其正常工作。
-
尝试为使用Spring MVC构建的JavaWeb应用程序设置SSO。我已经将我的应用程序注册到一个OKTA服务器,得到了一个元数据URL和一个SignOn URL。我正在使用我的应用程序中的SignOn URL,验证成功,然后使用一些包含SAML响应对象的表单数据发出POST请求。 从这里开始下一步应该做什么?我已经解码了SAML响应,现在根据我的理解,我需要获得一个令牌或一个会话ID,我需要使