当前位置: 首页 > 知识库问答 >
问题:

IDP启动的SSO在spring security SAML示例应用程序中不工作

司空俊雅
2023-03-14

我有一个spring security saml项目的分叉。你可以在这里看到我应用的更改:https://github . com/troy hart/spring-security-SAML/commits/nwri-sample _ simple。

SPurn: troyhart: nwri在SSO Circle注册。如果您有SSO Circle登录名,您可以启动应用程序并测试SP启动的SSO是否有效。但是,我无法让IDP启动的SSO工作。我得到以下例外:

org.springframework.security.authentication.AuthenticationServiceException: Error determining metadata contracts
  at org.springframework.security.saml.SAMLProcessingFilter.attemptAuthentication(SAMLProcessingFilter.java:91)
  at org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:195)
  at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342)
  at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:192)
  at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:166)
  at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342)
  at org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:87)
  at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342)
  at org.springframework.security.saml.metadata.MetadataGeneratorFilter.doFilter(MetadataGeneratorFilter.java:87)
  at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342)
  at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:192)
  at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:160)
  at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:346)
  at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:259)
  at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:243)
  at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:210)
  at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:222)
  at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:123)
  at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:502)
  at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:171)
  at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:100)
  at org.apache.catalina.valves.AccessLogValve.invoke(AccessLogValve.java:953)
  at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:118)
  at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:408)
  at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1041)
  at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:603)
  at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:312)
  at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
  at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
  at java.lang.Thread.run(Thread.java:745)
Caused by: org.opensaml.saml2.metadata.provider.MetadataProviderException: Metadata for issuer http://idp.ssocircle.com wasn't found
  at org.springframework.security.saml.processor.SAMLProcessorImpl.retrieveMessage(SAMLProcessorImpl.java:108)
  at org.springframework.security.saml.processor.SAMLProcessorImpl.retrieveMessage(SAMLProcessorImpl.java:172)
  at org.springframework.security.saml.SAMLProcessingFilter.attemptAuthentication(SAMLProcessingFilter.java:77)
  ... 29 more

奇怪的是,异常表示示例应用程序认为IDP EntityID是http://idp.ssocircle.com,但SSO Circle的真正EntityID是https://idp.ssocircle.com

有人知道这里发生了什么吗?奇怪的是,我已经测试过IDP启动确实有效,但在某个点上它停止了工作,现在它每次都失败,只有给定的异常。请帮帮我!我完全不知所措。

共有1个答案

姜华翰
2023-03-14

问题是快速启动的quide在文档IDP发起的SSO Circle的SSO URL中引用了已弃用的metaAlias。新值是/Publidp

因此,URL应为:

https://idp.ssocircle.com:443/sso/saml2/jsp/idpSSOInit.jsp?metaAlias=/publicidp&spEntityID=replaceWithUniqueIdentifier

我已经提交了修复的拉取请求。

 类似资料:
  • 我有一个现有的应用程序,突然间我被赋予了一项任务来实现IDP启动的SSO。有一个指向IDP的URL,点击它会要求我使用IDP提供的凭据登录,成功登录后,路径将移动到我们的应用程序,然后我的任务开始识别用户并提供正确的访问权限。我有我们的IDP提供的证书。我怎样才能做到这一点?我的应用程序是Spring MVC Java应用程序。我使用JBOSS AS 7。我以前从未做过类似的事情。有人能一步步清楚

  • 我通过以下步骤在Azure广告中创建了应用程序: 1-登录到Azure AD,单击应用程序选项卡,添加按钮。 2-选择"添加我的组织正在开发的应用程序"。 3-选择“Web应用程序和/或Web api”。 4-登录url“给出”https://mywebapplication.com/“应用程序内ID URI插入任意随机url。 5-创建应用程序后,转到“配置”选项卡,并将url回复为“https

  • 我在使用SimplesamlPHP实现IdP发起的登录时遇到了麻烦。了解我必须从留档中做什么并不是最容易的事情。 我将用户重定向到IdP服务器,登录后,服务器向SP发送一个XML文件,其中包含电子邮件用户的地址、ID和其他数据。这看起来像是一次成功的登录,但是此时我不知道如何处理这个XML。我应该自己解析它还是使用simplesaml?我如何验证签名? 以下是我收到的XML:

  • 这个问题是在基于SAML的IDP发起的SSO领域。作为一个POC,我有两个keycloak实例,比如keycloak1和KeyCloak2。我想做到以下几点: > 身份验证将在keycloak1上完成 keycloak1然后指向keycloak2以访问keycloak2客户端应用程序。 b)单击上面创建的saml客户端-->安装-->导出saml元数据IDPSSODescriptor并保存为sam

  • 如何从SAML响应中判断是SP启动的SSO还是IDP启动的SSO?是否有一个属性告诉我是谁发起了SSO? 例如,在这个StackOverflow问题中:SP发起的SSO和IDP发起的SSO之间的差异,他们讨论了差异,但没有谈论XML级别本身...... SAML响应如下所示:

  • 我使用SPRING SAML实现并充当SP(例如:ALPHA)。我能够执行SP启动的SSO,并能够使用IDP对用户进行身份验证。此实现中没有问题。 但在我的应用程序中,我需要访问另一个与同一IDP链接的SP(例如:BETA)url。ALPHA和BETA服务提供商都受到同一IDP的信任。在这种情况下,在通过SP INIT SSO使用IDP对用户进行ALPHA身份验证后,当BETA SP URL发生重