wso2-wso2标识服务器是否支持IDP从联合IDP发起的注销?
我们使用的是WSO2 Identity Server 5.3.0。我配置了WSO2 IDP(符号名称“IDP1”)和服务提供商(符号名称”SP1)之间的信任。然后,我配置了WSO2作为服务提供者(“SP2”)和联合IDP(符号名“IDP2”,一些公共/政府服务)之间的第二信任。SP1保护一些资源,只有当用户通过IDP2身份验证时才允许访问这些资源。一切都基于SAML协议。登录工作正常-登录请求从WSO2(=IDP1)重定向到IDP2。IDP1发起的注销工作正常。但IDP2发起的注销失败,并显示一条消息(在浏览器中):“注意:身份验证过程中出现问题。请尝试再次登录。”它会向WSO2日志生成记录:“{…DefaultRequestCoordinator}上下文不存在。可能是由于缓存无效”。在IDP2发起的注销期间,向WSO2发送正确的LogoutRequest(https://amsrv.mydomain.org:9443/commonauth). WSO2是否支持这种场景(IDP2发起的注销)?
共有1个答案
SLO正在基于会话ID工作。您不能使未被IDP识别的会话无效。
您的日志显示,指示上下文[由 SLO 请求中提供的会话 ID 指向]不存在,因此无法终止。
请关闭流上的加密,放一个Wireshark并查看它。WSO2IS在用户dahsboard中提供了一个屏幕,可以看到哪些会话是打开的,使用了哪些id。
我怀疑IdP2正在发送客户端和IdP2之间的会话ID…而不是客户端和IdP1之间会话的会话ID。
杰夫
-
WSO2身份服务器上有哪些调试选项可以使用OpenID协议跟踪身份联合(出站)?在WSO2 Rel 5.1下,log4j.properties或服务配置中是否有支持跟踪的参数? 即使将身份提供程序配置为使用连接到远程 Idp 的联合查找运行,服务器也只会验证本地注册的帐户。在服务器内部具有调试跟踪功能将有助于跟踪消息路由和流。 出站联合身份验证的配置详细信息: 这个话题有什么新进展吗?仍然在寻找一
-
我已经在WSO2是5.3.0中安装并配置了JWT Grant Type,然后按照本指南配置了一个服务提供程序,启用OAuth/OpenID Connect入站身份验证器。我能够通过javascript客户机验证使用开放ID范围的OAuth2协议的用户,获得有效的JWT令牌(JWTToken)。 最后,我尝试使用REST客户机并设置content-type=application/x-www-for
-
您能否解释一下,当 WSO2 配置为除基本身份验证外,还使用联合身份验证模式(WS 版本 5.1 - 高级配置)时,WSO2 Travelocity 测试应用程序在登录屏幕中请求“域名”输入字段。请求域名部分的原因是什么,至于外部身份验证,例如通过使用SAML协议,我希望看到重定向到外部IdP登录屏幕。显然,由于域名处缺少输入字段,登录重定向被拒绝。是否有可用于设置传出 IdP 联合的示例配置和使
-
我在WSO2 IS中找到了关于IDP初始化SSO的文档。但尚未找到任何关于服务提供商发起的SSO的信息。 考虑这样一种场景,即使用一个本地IS作为服务提供商,该服务提供商连接到多个外部托管的SAML IDP以进行出站身份验证。 我是否能够通过静态链接触发SP启动的登录到一个特定的外部IDP?理想情况下,使用中继状态属性,该属性在成功的SAML登录过程后进行评估。 我正在使用WSO2 IS 5.0.
-
我试图弄清楚如何使用IdP发起的请求和Sustainsys SAML2库在标准Web Forms应用程序中登录用户和Owin启用的Web Forms应用程序。 我在Azure上有IdP,我可以发送请求,Azure可以将带有SAMLResponse的POST发送到我的ACSendpoint。 但我不知道如何使用此令牌登录用户。Sustainsys文档中没有示例。 On Azure IdP Basic