关于“WAS仅支持IdP启动的SAML web SSO”的说明
有人能给我解释一下吗,在IBM信息中心,他们提到“WebSphere Application Server仅支持IdP发起的SAML Web SSO”。我有两个J2EE应用程序,部署在两个不同的WAS8.5实例上,这些应用程序使用基于表单的身份验证机制来验证用户。我想在它们之间配置SAML SSO,我将使用外部身份提供者,并将每个WAS0实例配置为服务提供者,上述声明是否意味着我无法实现SAML SOO,因为身份验证将在服务提供者处举行,如果没有,请解释一下上述声明?
共有2个答案
WebSphere Application Server目前不支持真正的Sp发起的SSO。如前所述,它支持Idp发起的。但是,它也支持一种称为“书签样式SSO和TAI过滤器”的混合方式,您可以将客户端发送到WebSphere,它重定向到Idp,然后Idp将SAML响应发送回WebSphere。这使您不必将客户端直接发送到IdP。这是一个非常常见的用例。
您可以在此处阅读书签风格的SSO和TAI过滤器:
http://www-01.ibm.com/support/knowledgecenter/SSEQTP_8.5.5/com.ibm.websphere.base.doc/ae/cwbs_samlssosummary.html
“书签样式SSO和TAI过滤器:
考虑一种书签式SSO,它传统上适合SP启动的SSO。用户访问业务应用程序时,无需首先对IdP进行身份验证。WebSphere SAML TAI可以配置为启动SSO。每个SSO伙伴配置都包含一个IdP登录应用程序和一个路由筛选器。每个过滤器定义一个选择规则列表,这些规则表示与HTTP请求匹配的条件,以确定是否为SSO伙伴选择了HTTP请求。筛选规则是HTTP请求头、引用数据和目标应用程序名称的组合。WebSphere SAML TAI运行时环境根据所有筛选规则检查用户请求,以唯一标识SSO伙伴,并将请求重定向到选定的IdP登录应用程序。TAI过滤器允许IdP启动的SSO提供与SP启动的SSO和IdP发现服务组合类似的功能。"
在SAML版本1中,用户总是从Idp开始,然后跟随指向Sp的链接。登录是在Idp开始的。
使用SAML版本2,将AuthnRequest消息添加到协议中,使用户能够从Sp开始。然后Sp向Idp发出AuthnRequest消息,Idp回复包含断言的响应消息。
看起来WA只支持第一种情况,这意味着Sp启动的自动登录是不可能的。但是,您始终可以在Sp起始页面上提供指向Idp的链接以进行手动登录。
-
我目前正在尝试设置测试,以测试我的应用程序的SP启动的SSO。此测试将在不同的环境中运行,尤其是在kubernetes中,其中收件人/目标URL将是动态的和不同的(即:http://localhost:5000/sso, https://k8s-server-1.com/sso, https://k8s-server-2.com/sso等等) 我已经研究了OKTA和OneLogin的免费开发者帐户
-
目前,我们的identity server安装了Sustainsys/Saml2扩展,允许三方客户端通过sso登录到我们的产品,其中客户endpoint击我们的登录页面启动请求。 我们现在有一个客户,您希望在其自己的软件中添加链接以启动该过程,创建ldp启动的请求。 我的问题是如何使用identity server和Saml2AuthExtensions实现这一点。我已经看过了,我看不到任何额外的
-
Webapp #1 有一个指向 webapp #2 的按钮。当我们的用户单击该按钮时,他们应该被重定向到webapp #2,并自动登录。 集成是 SAML,因此 webapp #1(IDP)向 webapp #2(SP)发送 SAML“请求”,该请求返回重定向 URL,webapp #1 重定向到它。 SP给了我一个HTTP POST的URL,一个通过“电子邮件”属性识别用户的断言,所以我产生了这
-
我已经配置了OpenAM IdP和SP。我正在纠结于IdP发起的SSO URL和SP发起的SSO URL。我使用以下格式的IdP发起的单点登录网址。但是我得到错误< code >服务提供商ID为空。 http://testtestidam.com:8080/openam/idpssoinit?metaAlias=/realm1/idp 任何人都可以帮忙吗?
-
SAML专家请帮忙!!!! 我对SAML和JSP非常陌生。我想使用java(Environment linux,Tomcat6.0)中的Opensaml库验证IDP(identity provider)启动的SAML响应令牌,并检索发送的属性信息,如用户ID、用户名、电子邮件。SAML响应没有加密,我的java密钥库中安装了idp的信任证书。SAML令牌配置文件是“web浏览器SSO”,它使用HT
-
我有一个服务提供商的应用程序。是否可以使用OpenID Connect实现由Idp启动的SSO 对于Idp启动的SSO,似乎只能使用SAML,对吗?或者有没有办法让OpenID连接也能正常工作?我正在考虑使用一些开源工具,比如KeyClope或OneLogin toolkit等。。 非常感谢。