使用PingFederate为SSO配置Spring SAML
我们已决定使用ping Felate作为我们的SSO解决方案。我搜索了许多示例,但没有找到一个Spring配置来清楚地描述我需要如何在平联邦端设置我的SP和/或IdP。我没有找到一个Spring文档来准确描述我需要什么来实现它。
任何帮助,非常感谢。
共有1个答案
目前没有关于在Spring SAML和Ping之间建立联盟的分步指南,但这些步骤与Spring SAML的快速入门指南中描述的非常相似。
最好的方法是从Spring SAML中包含的示例应用程序开始,将其配置为与Ping一起工作,然后将配置转移到当前的Spring应用程序。
高级步骤是:
- 部署Spring SAML示例应用程序
- 从
https://server: port/text/saml/元数据下载它的SP元数据(只需打开浏览器到URL并存储它返回的所有内容) - 通过创建新的SP连接来配置ping,作为您导入之前存储的元数据过程的一部分,首先您可以在大多数设置中使用默认值
- 完成后,使用管理功能从ping导出IDP元数据-
这将在两者之间建立联合,并使您能够开始通过Ping对用户进行身份验证。
元数据配置(bean元数据)应该如下所示:
<bean id="metadata" class="org.springframework.security.saml.metadata.CachingMetadataManager">
<constructor-arg>
<list>
<bean class="org.springframework.security.saml.metadata.ExtendedMetadataDelegate">
<constructor-arg>
<bean class="org.opensaml.saml2.metadata.provider.FilesystemMetadataProvider">
<constructor-arg>
<value type="java.io.File">classpath:security/idp.xml</value>
</constructor-arg>
<property name="parserPool" ref="parserPool"/>
</bean>
</constructor-arg>
<constructor-arg>
<bean class="org.springframework.security.saml.metadata.ExtendedMetadata"/>
</constructor-arg>
<property name="metadataTrustCheck" value="false"/>
</bean>
</list>
</constructor-arg>
</bean>
确保将资源/安全/idp.xml替换为PF中的元数据。您可以删除ExtendedMetadata bean的所有未使用实例(如SSO Circle的实例)。元数据bean可以包含多个“链接”的原因是它可以同时支持许多IDP。
-
我正在尝试使用Kerberos在Tomcat9(使用SDK8)中配置SSO。我的环境都在Windows Server 2016 VMS中:- null null 在tomcat服务器中,我创建了文件。/tomcat-9/conf/krb5.ini 我创建了文件。/tomcat-9/conf/jass.conf 到目前为止,在我找到的所有教程中,它都是相当一致的。从现在开始,far west和我对t
-
我已经安装了Zimbra Network Edition v8.8.8,运行良好。我正在尝试使用simplesaml配置SSO,但我仍停留在必须为SSO传递SAML响应的部分。引用自https://wiki.zimbra.com/wiki/Authentication/SAML: SAML提供程序必须在SSO的以下URL处发布SAML响应: 此SAML使用者扩展要求SAML断言中的使用者名称标识符
-
启动登录时,Keycloak在请求中发送一个< code>relaystate参数。但是,在成功登录后,pingbean不会返回此< code>relaystate。 奇怪的是,如果我向平联邦请求URL添加参数,它会将此参数的值返回为。我错过了什么?
-
我正试图让Shibboleth SP在我的实验室中使用OneLogin[SAML测试连接器(IdP w/attr)]。我能够使用testshib IdP实现所有功能,但当我更改元数据提供程序并更新SSO实体ID时,我只收到以下错误: 随POST一起传递到错误服务器URL的SAML邮件 当查看我的元数据文件时,我看到我的ACS是: 超文本传输协议://testserver/Shibboleth.ss
-
我有一个asp。net MVC应用程序我想进行单点登录windows身份验证。我使用Ping Federate作为IdP和SP。当我进入站点时,它将重定向到SSO页面。在我输入凭据后,它将SAML发布到SP,SP将重定向到站点。 问题我的应用程序无法识别用户已通过身份验证并重定向回已对用户进行身份验证的SSO页面,再次将SAML发布到SP,并且存在无限循环。我错过了什么?我需要更改web.conf
-
我读过PingFederate的文档,上面写着: SP适配器用于为用户创建本地应用程序会话,以便PingFederate提供对您的应用程序或其他受保护资源的SSO访问。为了建立到IdP伙伴的连接,您必须至少配置一个SP适配器实例。您还可以配置多个适配器实例(基于一个或多个适配器),以满足您的IdP合作伙伴的不同需求。 但我不明白为什么IdP连接需要SP适配器?为什么需要它?它真正做什么? 在我的用