KeyCloak与平联邦的集成
我想做的是:
我的应用程序集成了钥匙斗篷。因此,当我的应用程序启动时,会向用户显示钥匙斗篷登录页面。现在,我正在尝试提供一个使用PingFedrate登录的选项。因此,将出现一个用于使用 PingFed 登录的按钮(一旦在密钥保护中配置了新的 SAML 提供程序)。在 PingFedrate 上,我尝试集成 SP 初始化的 SSO:
我添加了一个新的SP连接,并将其配置为SSP启动的SSO。(它迫使我配置SOAP身份验证,我选择了基本并配置了随机用户名和密码)。然后我从这个SP下载了metatdata.xml并导入到keycloak中,key cloak自动将登录url填充为:https://my server:9031/IDP/SSO . SAML 2(即没有客户端id)。在此之后,当用户使用PingFed - PingFed单击登录时,会出现以下错误:
意外的系统错误 很抱歉给您带来不便。请与管理员联系以获得帮助,并提供下面的参考编号以帮助查找和更正问题。
共有1个答案
我找到了解决办法。
首先,我们需要在Pingfed中为KeyClope添加SP初始化SSO。
Keycloak,默认情况下保持实体ID等于包含您的领域的keyloak服务器的url。例如
https://(key cloak-server)/auth/realm/(realm-name)
(我找不到通过Keycloak UI改变它的方法)
您需要在 Pingfed 中输入此 URL。
为了避免手动添加,您可以从identity provider的下载导出选项卡下载KeyClope配置。
并在Pinfeed上,导入此文件。
顺便说一句,尽管我之前导入了它,但我正在将Partenr id的值更改为其他名称,因为在我开始解码请求中的SAML令牌之前,我才意识到上述限制。
-
Kubernetes v1.9声称单集群最多可支持5000个节点和15万个Pod,我相信很少有公司会部署如此庞大的一个单集群,总有很多情况下因为各种各样的原因我们可能会部署多个集群,但是有时候有想将他们统一起来管理,这时候就需要用到集群联邦(Federation)。 为什么要使用 federation Federation 使管理多个集群变得简单。它通过提供两个主要构建模块来实现: 跨集群同步资源
-
我有一个混合用户群的Keycloak领域。有些用户是原生的(本机用户),有些是通过自定义用户存储SPI实现提供的(联邦用户)。 当我执行OIDC登录时,Keycloak要求批准4个作用域(测试客户机、配置文件、电子邮件、角色)。该请求是用openID作用域执行的。Keycloak将其转换为这四个作用域。test-client是客户端名称。在管理UI中没有显示具有此名称的实际客户端范围。 使用本机用
-
正在尝试让Keyclope与mysql innodb群集配合使用。我已经单独配置了Keyclope。xml符合文档要求。 这是数据源 这是司机 我还添加了module.xml打包mysql jdbc驱动程序(我使用最新版本mysql-connector-java-8.0.21.jar) 运行keydrope时出现的错误是 这方面的任何帮助都会非常有用。
-
因此,我的任务是为客户端的Oracle Hyperion应用程序启用SSO。我使用的方法是基于自定义标头变量的SSO。 平联邦目前作为许多应用程序的SSO身份验证服务器存在,计划是在它(平馈SP)从Okta IDP检索属性/身份验证用户时使用它作为目标应用程序的SP。 我对这个过程相对较新,因为您可能已经猜到了,并且正在寻找有关如何配置的澄清: > SP 从 Pingfed 启动 SSO,并从 O
-
我正在使用SAML 2.0和浏览器SSO配置SP以连接到另一个IDP。我已经完成了所有的设置,但无法弄清楚如何或是否有可能向IDP发送断言。IDP通常不会将断言发送回SP吗?当我导航到IDP的ACS URL时,我无法访问登录页面,因为我错过了这些SAML断言。 我的特定用例是通过平联邦设置的。 谢谢!
-
我有一个关于在移动应用程序的PingFederate环境中实现SLO的查询。 我们是服务提供商。我来解释一下移动应用流程。请帮助我了解如何才能实现SLO 移动应用程序向PingFederate发送请求以获取授权码 用户未通过身份验证,请求已传输到IDP登录页面 IDP登录过程完成,SP收到SAML响应 授权代码已生成并发布到应用程序 应用程序联系PingFederate OAuth访问令牌endp