SAML 消息预期目标终结点“https://serverA/saml/SSO”与收件人终结点“https://serverB/saml/SSO”不匹配
我的Spring boot 2.5.5应用程序有以下结构,其中客户端请求到达服务器A,然后转发到服务器B,然后是服务器C。
我已经使用(sping-security-saml2-core)实现了Spring Security和AD SAML身份验证
-
< li>Nginx(服务器A) -
现在,在Azure AD中,我们创建应用程序并获取实体ID、元数据URL和回复URL[https://serverA/appName],这些都在我的Spring Boot Application中配置。
完成所有这些配置后,当我们从客户端访问应用程序时,我可以获得SSO登录页面,并且可以输入凭据。一旦我尝试登录,我就会收到服务器C日志中列出的以下异常
SAML message intended destination endpoint 'https://serverA/appName/saml/SSO' did not match the recipient endpoint 'https://serverB/appName/saml/SSO'
共有1个答案
萨姆勒非常严格。当您向 AD 发送 SAML 请求时,您还需要指定要回复的位置。您还可以在 AD 端配置要将响应发送到的位置。这些必须匹配。如果响应endpoint不匹配,则会收到此错误。我猜你的问题是你的请求来自服务器A,并且AD配置为将其返回到服务器B.检查你的元数据返回终结点是否与在AZURE中配置的内容匹配,你的问题可能就在那里。
-
当我的应用程序SP和客户端IdP之间出现SSO时,我收到了“由:org.opensaml.xml.security.SecurityException:SAML消息预期目标endpoint与收件人endpoint不匹配”的“异常”。 服务器日志显示了架构的差异,请参见下文: 我的应用程序在2个实例上的STG上运行,LB在前,因此我使用< code > SAMLContextProviderLB 上
-
我正在尝试用openam和weblogic设置saml sso。我之所以想使用saml,是因为我有多个应用程序,无法更改web。xml来使用j2ee代理。 我的问题是,是否有一个很好的文档来解释weblogic和openam的设置。我读了好几本指南,但我还是很困惑。。。只是想找个好方法! 我当前的设置是tomcat上的openam安装在host1上,weblogic安装在host2上。部署在hos
-
尝试为使用Spring MVC构建的JavaWeb应用程序设置SSO。我已经将我的应用程序注册到一个OKTA服务器,得到了一个元数据URL和一个SignOn URL。我正在使用我的应用程序中的SignOn URL,验证成功,然后使用一些包含SAML响应对象的表单数据发出POST请求。 从这里开始下一步应该做什么?我已经解码了SAML响应,现在根据我的理解,我需要获得一个令牌或一个会话ID,我需要使
-
我在一所大学工作,我正在使用WSO2作为SP和NetIQ作为IdP设置一个sso。两个服务(IdP和SP)所需的所有配置都已交换并成功完成。但是我遇到了一个问题,WSO2从用户的代理(浏览器)抛出以下错误: 基于SAML 2.0的单点登录不是有效的SAML 2.0请求消息!SAML 2.0 SSO提供程序无法识别该消息。请查看日志以了解更多详细信息 错误“不是有效的SAML 2.0请求消息!”太笼
-
问题内容: SAML SSO通常是如何实现的? 我读过这有关使用SAML与谷歌企业应用套件(NB过时),并在维基百科条目SAML。 维基百科条目讨论有关使用包含SAMLRequest和SAMLResponse的详细信息的表单进行响应。这是否意味着用户必须亲自提交表单才能继续进行单点登录? Google条目谈到了使用重定向,这对我来说似乎更不可思议。但是,它也讨论了使用表单来响应用户必须提交的响应(
-
在阅读了一些关于SAML的文章后,包括“SAML for dummies”和SAML wiki文章,我仍然完全不清楚SAML实际上是如何解决SSO问题的。假设我以谷歌账户为例。我的理解是,如果我转到GMail并实现SAML,我将被重定向到IDP,比如说,这是谷歌的登录权限。然后,我的浏览器会重定向到那里,并要求我登录。在提供了正确的登录信息后,我返回到GMail,并使用Google Sign-in