配置SP向IDP发送断言(平联邦SAML 2.0)
我正在使用SAML 2.0和浏览器SSO配置SP以连接到另一个IDP。我已经完成了所有的设置,但无法弄清楚如何或是否有可能向IDP发送断言。IDP通常不会将断言发送回SP吗?当我导航到IDP的ACS URL时,我无法访问登录页面,因为我错过了这些SAML断言。
我的特定用例是通过平联邦设置的。
谢谢!
共有1个答案
你是对的——IdP将断言发送回SP,而不是相反。SP可以在身份验证请求中向IdP发送一些数据——但通常这只是合作伙伴ID和(在某些罕见情况下)主题/用户名,以告诉IdP它请求对谁进行身份验证。
“导航”到IdPs ACS URL不是最终用户的浏览器通常应该做的事情。ACS URL是一个协议endpoint,断言将从IdP发送,通常通过浏览器自动提交的HTTP POST,由IdP代表用户发起。
如果希望SP从PingFederate向IdP发送身份验证请求,可以使用SP应用程序endpoint(即/SP/startSSO.ping)来实现。此处描述了这些endpoint:https://support.pingidentity.com/s/document-item?bundleId=pingfederate-92
-
因此,我的任务是为客户端的Oracle Hyperion应用程序启用SSO。我使用的方法是基于自定义标头变量的SSO。 平联邦目前作为许多应用程序的SSO身份验证服务器存在,计划是在它(平馈SP)从Okta IDP检索属性/身份验证用户时使用它作为目标应用程序的SP。 我对这个过程相对较新,因为您可能已经猜到了,并且正在寻找有关如何配置的澄清: > SP 从 Pingfed 启动 SSO,并从 O
-
我一直在POCing IDP发起的SAML,我不能上班的最后一部分是全局注销。当用户从 IdP 转到 SP(一切正常)然后选择全局注销时,正在生成 LogoutRequest 并且正在重定向浏览器,但标头中的 sesisonid 不是 IdPsession 标识符 - 我该如何使 IdP 会话无效?
-
我有一个asp。net MVC应用程序我想进行单点登录windows身份验证。我使用Ping Federate作为IdP和SP。当我进入站点时,它将重定向到SSO页面。在我输入凭据后,它将SAML发布到SP,SP将重定向到站点。 问题我的应用程序无法识别用户已通过身份验证并重定向回已对用户进行身份验证的SSO页面,再次将SAML发布到SP,并且存在无限循环。我错过了什么?我需要更改web.conf
-
因此,我将在开头说SAML(以及用户认证)不是我的强项,所以我为任何误用的术语道歉。 背景: 我们目前有一个ASP。Net框架网站,使用.Net版本4.7.2(特别是webforms)。我们的网站充当服务提供商(SP),目前使用SAML 2.0和不推荐的身份提供商(IdP);幸运的是,这个身份提供者正被Okta取代。最初的IdP提供了他们自己的实现说明,使用了OWIN中间件和他们自己的NuGet包
-
我正在阅读SAML规范,并尝试和IDP,我不确定如何在SP启动的登录中实现一个特性。
-
我有一个关于在移动应用程序的PingFederate环境中实现SLO的查询。 我们是服务提供商。我来解释一下移动应用流程。请帮助我了解如何才能实现SLO 移动应用程序向PingFederate发送请求以获取授权码 用户未通过身份验证,请求已传输到IDP登录页面 IDP登录过程完成,SP收到SAML响应 授权代码已生成并发布到应用程序 应用程序联系PingFederate OAuth访问令牌endp