在IDP启动的SSO(SAML)中是否需要密钥库/JKSKeyManager?
我已经使用Spring SAML扩展成功实现了SSO身份验证。我们的主要要求是在应用程序中支持IDP启动的SSO。好的,通过使用spring-security-saml2-sample中的配置,即使SP启动的SSO流也适用于我们。
问题:密钥库是否用于IDP启动的SSO(如果元数据具有证书)?如果没有使用,我希望从securityContext中去掉密钥库配置。xml。
注意:我们不需要SP启动的SSO和全局注销。我们使用Okta作为IDP。
共有1个答案
这是一个很好的功能请求。我已经打开了https://jira.spring.io/browse/SES-160Spring SAML的trunk中提供了以下文档:
如果您的应用程序不需要创建数字签名和/或解密传入消息,则可以使用不需要任何JKS文件的密钥库的空实现-org.springframework.security.saml.key.emptyKeyManager。例如,当仅使用IDP初始化单点登录时,可能会出现这种情况。请注意,当使用emptyKeyManager时,某些Spring SAML功能将不可用。这至少包括SP初始化的单点登录、单点注销、在ExtendedMetadata中使用附加密钥以及验证元数据签名。使用以下bean来初始化emptyKeyManager:
<代码>
-
我使用SPRING SAML实现并充当SP(例如:ALPHA)。我能够执行SP启动的SSO,并能够使用IDP对用户进行身份验证。此实现中没有问题。 但在我的应用程序中,我需要访问另一个与同一IDP链接的SP(例如:BETA)url。ALPHA和BETA服务提供商都受到同一IDP的信任。在这种情况下,在通过SP INIT SSO使用IDP对用户进行ALPHA身份验证后,当BETA SP URL发生重
-
Webapp #1 有一个指向 webapp #2 的按钮。当我们的用户单击该按钮时,他们应该被重定向到webapp #2,并自动登录。 集成是 SAML,因此 webapp #1(IDP)向 webapp #2(SP)发送 SAML“请求”,该请求返回重定向 URL,webapp #1 重定向到它。 SP给了我一个HTTP POST的URL,一个通过“电子邮件”属性识别用户的断言,所以我产生了这
-
如何从SAML响应中判断是SP启动的SSO还是IDP启动的SSO?是否有一个属性告诉我是谁发起了SSO? 例如,在这个StackOverflow问题中:SP发起的SSO和IDP发起的SSO之间的差异,他们讨论了差异,但没有谈论XML级别本身...... SAML响应如下所示:
-
我已经使用Spring SAML扩展实现了SSO解决方案,现在我想测试IDP启动的SSO 请任何人给我关于IDP的Spring SAML扩展的IDP启动SSO的URL。SSO循环。通用域名格式
-
我目前正在尝试设置测试,以测试我的应用程序的SP启动的SSO。此测试将在不同的环境中运行,尤其是在kubernetes中,其中收件人/目标URL将是动态的和不同的(即:http://localhost:5000/sso, https://k8s-server-1.com/sso, https://k8s-server-2.com/sso等等) 我已经研究了OKTA和OneLogin的免费开发者帐户
-
我是一个服务提供商。当有人点击链接时,SSO过程在idp启动,idp将SAML发布到我指定的urlendpoint。他们只给我提供了一份元数据。xml文件。我不确定这就是我所需要的。 使用PHP,我如何处理SAML数据,以及如何使用元数据。xml?我需要安装simplesamlphp还是有更简单的东西?