当前位置: 首页 > 知识库问答 >
问题:

Identity Server Saml2AuthExtensions Idp启动的SSO

邢嘉祯
2023-03-14

目前,我们的identity server安装了Sustainsys/Saml2扩展,允许三方客户端通过sso登录到我们的产品,其中客户endpoint击我们的登录页面启动请求。

我们现在有一个客户,您希望在其自己的软件中添加链接以启动该过程,创建ldp启动的请求。

我的问题是如何使用identity server和Saml2AuthExtensions实现这一点。我已经看过了,我看不到任何额外的东西可以让这一切通过。它只是开箱即用,还是我需要设置其他东西?

干杯

共有1个答案

周鸿光
2023-03-14

SAML2标准支持“Idp启动的登录”,这可以在Sustainsys中启用。Idp上带有AllowUnsolicitedAuthResponse标志的Saml2库。然而,这是一个坏主意,因为idp发起的流在设计上容易受到会话固定攻击。我见过有人让IdentityServer与idp发起的登录一起工作,但这很尴尬,因为IdentityServer不是为支持它而构建的。

使用OIDC方式要好得多。让客户直接链接到客户端应用程序(我假设最终目标是使用OIDC将客户端连接到IdentityServer)。然后在客户端上创建一个endpoint,该endpoint启动对IdSrv的OIDC登录,amr值向IdSrv指示应使用Saml2进行身份验证。这可以提供一个解决方案,其中用户单击链接,转到客户端,重定向到IdSrv,重定向到Saml2 Idp,在那里他们会自动登录(使用Windows身份验证或现有会话)。然后,它们会自动重定向回IdSrv,IdSrv会重定向回目标应用程序。

从用户的角度来看,他们有一个链接可以自动将他们登录到应用程序。

 类似资料:
  • 我已经配置了OpenAM IdP和SP。我正在纠结于IdP发起的SSO URL和SP发起的SSO URL。我使用以下格式的IdP发起的单点登录网址。但是我得到错误< code >服务提供商ID为空。 http://testtestidam.com:8080/openam/idpssoinit?metaAlias=/realm1/idp 任何人都可以帮忙吗?

  • 我已经更改了我想首先运行的活动从主活动到另一个。我通过编辑Android清单并移动这段代码做到了这一点: 我的清单现在是这样的: 当我运行它在我的手机和平板电脑(从android工作室)我得到下面的错误和应用程序不启动自动像以前一样。但是当我点击图标时,它通常首先以正确的活动开始。 但是当我使用模拟器时,正确的活动只在第一次安装时启动,而之前设置的活动则会启动。 我不知道为什么会这样。我完全没有安

  • 命令行选项 关于解释器行 请使用如下命令行启动Ruby解释器. ruby [ option ...] [ -- ] [ programfile ] [ argument ...] 这里的"option"指下文将要提到的命令行选项中的一个。"--"则显式地表明选项字符串到此结束。"programfile"是装载Ruby脚本的文件。若省略不写或者写成"-"时,Ruby会把标准输入当做Ruby脚本进行

  • 与不同,它看起来不支持参数。有没有办法为实现相同的行为?这是我的用例: 我有一个通用的Spring应用程序,它可以监听任何Kafka主题并写入我数据库中的相应表。对于某些主题,音量较低,因此可以以非常低的延迟处理单个消息。对于其他大容量的主题,代码应该接收消息的微批处理并使用Jdbc批处理写入数据库的频率较低。理想情况下,侦听器的定义如下所示: 对于小容量的主题,我会设置启用为true和为fals

  • 我很久以前做了一些自定义systemd服务,都有相同的配置(当然ExecStart除外) 这种配置已经运行了很多年,从18.04版LTS开始,我已经启动并运行了ubuntu,但是现在看起来有些systemd服务根本没有启动,配置如下(myapp.service): 服务已启用: 如果在重新启动后执行“systemctl status myapp”: 如果我在重新启动后执行“Journal alct

  • 如何从SAML响应中判断是SP启动的SSO还是IDP启动的SSO?是否有一个属性告诉我是谁发起了SSO? 例如,在这个StackOverflow问题中:SP发起的SSO和IDP发起的SSO之间的差异,他们讨论了差异,但没有谈论XML级别本身...... SAML响应如下所示:

  • iam使用带有kafa整数的jhipsterSpring靴 正在应用中。yml公司 云:流:默认绑定器:kafka函数:定义:memberSupplier;成员批准供应商;memberEventConsumer;memberApprovalEventConsumer绑定:memberSupplier-out-0:目标:memberEventConsumer-in-0:目标:memberApprov

  • 我在启动spring boot应用程序时遇到以下错误。这是我的第一个spring boot项目。因此,我不确定错误以及如何修复它。 申请启动失败 描述: 配置为侦听端口8080的Tomcat连接器无法启动。端口可能已在使用中,或者连接器可能配置错误。 行动: 验证连接器的配置,识别并停止在端口8080上侦听的任何进程,或者将此应用程序配置为在另一个端口上侦听。