使用angular、node.js和身份提供者的SAML-认证
我想使用SAML2实现SSO. 但是我不知道如何将其与分布式系统一起使用,每个实例都在自己的服务器上独立运行.环境包括三个实例: 实例#1:Angular Frontend 实例#2:node.js后端(使用Express.js + Passport) 实例#3:saml实例(身份提供者) 问题是,如果前端称为守卫后端路线,最好的方法是什么? 哪一系列动作可以看作是好的实践? 目前我有这种行为: 前端将请求发送给受保护的后端路线 由于用户未经认证,服务器将重定向到身份提供商提供的SSO页面. 在那里输入凭据 用户通过SAML实例进行身份验证,并将请求发送回服务器. 现在已对用户进行身份验证,服务器将带有请求的资源的响应发送给客户端. ,但是只要我想到这个顺序,我就会意识到这是行不通的. 因为前端是其自己的实例,并且独立于后端. 如果您有一个分开的前端实例,则重定向到护照发起的SSO页面无效. 如果您直接使用浏览器调用守卫路线,则可以使用,因为您只
0 2024-02-21
编程技术问答社区
nuget itfoxtec saml&Angular
我对Nuget示例中描述的功能有问题,尤其是与Core和Angular有关的情况. 我有一个带有Angular4的前部,所有请求都会通过.我将其重定向到IDP表格,他再次打电话给我来传递主张. 我如何用Angular捕获SAML响应以将其传递回自由服务方法并获得索赔? 更新: 我试图将呼叫直接传递给背面,现在恢复索赔时有以下错误: {"错误":" IDX13102:在阅读saml2securitytoken的'authncontext'时引发异常. .tokens.SAML2.SAML2AuthenticationContext.set_classReference(uri值)C:\ Agens1 \ _Work \ 109 \ Src \ Src \ Src \ Microsoft.IdentityModel.tokens.tokens.saml \ saml2 .tokens.SAML2.SAML2AuthenticationContext..ctor(uri classRef
0 2024-02-20
编程技术问答社区
MSAL + SAML集成Android
希望使用MSAL(Microsoft Authentication Library)集成SAML而不是OAuth.我有一个使用oauth登录名的Android应用程序,该应用程序使用 link .现在,由于该应用程序是在Azure Portal中的Enterprise Application选项中配置SSO的SAL,因此我希望使用SAML IDP登录该应用程序,但该应用程序继续加载旧的OAuth身份验证.我在这里缺少什么? 解决方案 MSAL不支持SAML.它仅支持Oauth/OpenID Connect. 您需要与 saml stack .
0 2024-02-10
编程技术问答社区
Android的SAML客户端?
我正在研究一个项目,该项目需要从某些受保护的网页中解析一些数据.为了获得这些页面,我必须克服SAML认证形式(Shibboleth). 是否有人能够在Android(Java)中实施此标准? 我已经读过此线程: saml客户端客户实现? 但这并不能给我一个很好的解决方案.实际上,我需要获取某些受保护的Web页面的数据以解析它,而不是让用户查看此类页面的内容.因此,通过网络访问登录并不是我真正需要的. 解决方案 经过一番研究,我最终自己建立了它. 我仔细遵循了每一个重定向,并记下了创建,编辑或删除的每个cookie(Opera,其内置选项允许关闭重定向是钥匙). 结果是流程,然后我在一个软件包 ad hoc 中复制了setupConnection类,其任务是连接到主机并跟踪cookie的. SAML类复制了SAML流,最后是主要类,我可以从中收集有用的信息. 希望它有帮助. 其他解决方案 我认为OpenSAML是处理SAML零件的最佳选择,然后可能是您通常会在浏览器中
0 2024-02-01
编程技术问答社区
如何使AWS作为OIDC或SAML提供商的IdP工作?
我打算将和cognito身份池用作OIDC或SAML提供商. 我的目标是在没有任何第三方集成的情况下使用AWS作为提供商. 我看了看IAM Identity Provider,并通过Doc https://docs.aws.amazon.com/iam/latest/userguide/ID_ROLES_ROLES_PROVIDERS_CREATE_OIDC.HTML ,但我似乎需要为SAML或Provider URL and audience提供Metadata document Provider URL and audience,以提供第三方提供者的OIDC. 有没有办法将AWS用作提供商?我不想使用其他提供商. 解决方案 如果这是您的高级目标: 通过OAuth 2.0和打开ID Connect的UIS和API的现代和标准安全性 那么,您可能要寻找的是Cognito用户池.这将提供基于标准的端点,以便您可以以首选方式对UIS和API进行编码. 如
0 2024-01-26
编程技术问答社区
使用OneLogin SAML和MFA的AWS API凭证
我们希望通过使用密码和MFA登录OneLogin,允许我们的用户通过登录给定AWS角色的一组临时CLI凭据.我们有一个有效的解决方案,但是它要求用户每60分钟一次对Onelogin(包括MFA)进行全面重新认证,因为AWS临时凭证过期.我认为这不会飞行 - 我们的用户习惯于与真正的IAM用户相关的永久API凭据. 理想情况下,我们想允许用户每天进行身份验证一次,安全地缓存由此产生的SAML断言,并根据需要透明地刷新AWS API凭据.我想到的是 aws-keychain SAML断言,仅在Onelogin会话时才提示用户输入. 这几乎可以正常工作.捕获的是,SAML断言由Onelogin的 saml_assertion saml_assertion saml_assertion saml_assertion 和verify_factor端点在Subject和Conditions字段上设置了三分钟的截止日期. 有没有办法做我们想做的事情,还是我们试图围绕核心SAML原则路
0 2024-01-26
编程技术问答社区
当我从本地IdP的SAML SSO登录AWS时出现ExpiredTokenException
我在本地构建IDP,我在AWS IAM设置中配置了IDP,现在我想从我的本地和登录AWS启动IDP初始SSO,但是该错误始终在AWS页面中显示: 响应已过期(服务:AWSSecurityTokenService;状态代码:400;错误代码:ExeciredTokeneXception;请求ID:18FC7E20-97EB-11E9-97E9-97E4-0F555A66663916E).请重试. 错误页面屏幕截图 在这种情况下我该怎么办? 任何帮助将不胜感激. 这是SAML响应
0 2024-01-25
编程技术问答社区
为SAML'的IAM角色创建策略
我正在尝试为我的联合用户创建IAM角色的策略(通过我的SAML提供商进行身份验证).我正在关注为SAML 2.0 Federation(Console)创建一个角色 - AWS身份和访问管理: { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRoleWithSAML", "Principal": {"Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/PROVIDER-NAME"}, "Condition": {"StringEquals": {"SAML:aud": "https://signin.aws.amazon.com/saml"}} } } 但是我会有以下错误: This policy co
0 2024-01-24
编程技术问答社区
Spring Boot Saml和AWS Cognito
我有一个工作的cognito应用程序客户端,该客户端利用用户池使用SAML.它访问Azure AD作为IDP.当我单击"启动托管UI"时,它会正确地将我重定向到登录屏幕,并在身份验证尝试加载我的回调URL时. 现在,我想将其与Spring Boot应用程序进行连接. 我找到了这个示例非常引人注目,因为我真正需要做的就是提供正确的配置,例如在这样提供的示例中: spring: security: saml2: relyingparty: registration: simplesamlphp: signing.credentials: - private-key-location: "classpath:credentials/rp-private.key" certificate-location: "classpath:credentia
0 2024-01-24
编程技术问答社区
AWS Cognito-从ADFS创建组作为Cognito组
一个应用程序通过 aws cognito 通过开放ID连接协议进行通信,该协议连接到 adfs ,通过SAML通信. Cognito本质上是"代理" ADFS服务器. adfs保留该应用所需的组映射,我想将这些群体导入为Cognito作为实际的Cognito组 - 然后,该应用程序将从cognito:groups中读取该应用程序. Id-token Cognito提供. 在AWS Cognito用户池设置中,我看不到将ADFS组映射到Cognito组的方法 - 我必须绝对依靠我可以将其映射到ADFS -Property或AM的自定义属性我错过了一些允许Cognito即时创建新组并自动将用户分配给Cognito中的组? 中的组的配置. 编辑:要澄清,是否可以设置Cognito添加/创建组(不是自定义属性,而是实际可管理的Cognito组),当它导入用户时? 解决方案 我也遇到了同样的问题,我也没有在Cognito中找到静态映射选项. 我看到的唯一方法是将广
8 2024-01-24
编程技术问答社区
为什么Cognito会拒绝我的SAML断言?
我正在做一个概念证明,以使SAML成为Cognito.我已经设置了Shibboleth V3,并且一旦我最终获得日志级别集,我就可以看到SAML被发送回Cognito,该SAML将其重定向到我在URL中使用?error_description=Error+in+SAML+response+processing%3A+Invalid+SAML+metadata.+&error=server_error配置的页面. Cognito中的用户池设置为电子邮件地址,而我 think 我已经正确设置了属性映射,但这并不是很容易说明.这是我在日志中看到的SAML(为了匿名而减去几个URL):
2 2024-01-24
编程技术问答社区
Kentor HTTPModule- ADFS Login SAMLResponse ERROR
在我们的ASP.NET项目中,我正在使用Kentor.AuthServices.HTTPModule并配置了ADF. 将SAML断言消费者绑定为"重定向",并以"我们的SiteUrl"为"重定向". ADFS登录成功后,它将重定向到ourSiteURL/AuthServices/Acs?SAMLResponse=...,并引发异常 kentor.authservices.exceptions.invalidsignaturexception:不能 验证来自未知发件人的消息的签名 win-3obaenpbsol.dc10.inapp.com/adfs/services/trust. 这个问题的原因是什么? 解决方案 原因是Authservices不使用实体ID win-3obaenpbsol.dc10.inapp.com/adfs/services/trust识别IDP. 我还看到您在向authservices发送响应时正在使用重定向绑定,而该响应不支
4 2024-01-19
编程技术问答社区
AD FS自定义认证提供者没有返回认证方法要求
我已经为AD FS MFA制作了自定义身份验证提供商. 我在元数据中定义了一种身份验证方法声明: public string[] AuthenticationMethods { get { return new string[] { "https://schemas.microsoft.com/ws/2012/12/authmethod/otp" }; } } 我也有一种tryendauthentication方法(这仅是出于实验室目的,我将在此部分工作后更改硬编码的PIN): public IAdapterPresentation TryEndAuthentication(IAuthenticationContext context, IProofData proofData, System.Net.HttpListenerRequest request, out System.Security.Claims.Claim[] claims) {
4 2024-01-19
编程技术问答社区
Iis如何使用saml2.0来访问adfs?
IIS如何使用SAML2.0访问ADF? 我认为,IIS需要通过以SAML 2.0发送请求. 来部署Web应用程序以访问ADF. 但是直到现在,我还没有找到可以部署可以发送SAML2.0的Web应用程序的方法. 它必须使用isapi或shibboleth? 分辨率:(1)Shibboleth SP应该建立SSO会话/HTTP 从已发送SAML响应中提取用户信息后登录会话已发送 由SAML IDP. (2)将用户信息插入SSO会话/HTTP登录 会议.如何从会话中插入和获取数据而不是 ASP.NET MVC C#中的数据库提供了有关如何插入的指令 数据到HTTP会话(在IIS)中,并从HTTP中提取数据 会话(在玻璃鱼). //在IIS会话中[" http_mail"] = request.headers [" http_mail"]; //在http重定向字符串user_email =之后在玻璃鱼中 会话[" http_mail"]; 感谢您的回答
4 2024-01-19
编程技术问答社区
ColdFusion。SAML服务提供者ADFS
我们的公司正在为客户编程自定义网络商店.现在,客户已与我们联系,以实施正在使用SAML的身份验证.客户已经在运行ADFS服务器.我的工作是评估工作对我们公司的困难以及我们需要采取的步骤. 我现在已经搜索了很长时间了,但我没有发现真正有用的东西.我了解基本的数据流,但是服务提供商的更为特定的示例很棒. 示例或解释我们必须如何做这将是很棒的! 非常感谢! 解决方案 这里有一些链接,应该让您入门.在这种情况下,您是服务提供商还是身份提供商? 带有Coldfusion的SAML服务提供商 这里还有另一个,这样我似乎找不到与第一个链接相似的.我还在CF.Obigntive 2013上进行了演讲,该演讲在他们的Dropbox中在线上进行了演讲,但似乎已经消失了.猜猜我将不得不为所有人放在某个地方.
4 2024-01-19
编程技术问答社区
使用ADFS进行重新认证?
我正在尝试针对Windows ADF实现SAML 2.0对Web应用程序的身份验证.到目前为止 现在,我想为我的申请提供联合元数据,以使在ADF中设置所需的内容变得更加容易.但是,我不知道如何通过该元数据中所需的索赔规则. 这是我到目前为止所拥有的:
6 2024-01-19
编程技术问答社区
使用带有ADFS的系统登录到一个iOS应用程序。
我有兴趣制作一个登录的应用程序,该应用程序使用ADF和SAML. 使用单个登录 现在我很高兴阅读它,我只是想知道是否有任何特定于iOS平台的东西,以及它如何集成,甚至可能与演示应用程序. 我找到了这个网站: 我确实意识到这不是一个"编码问题"问题,但是我敢肯定,当我开始开发时它们会从中出现: - ) 我希望你们中的一些人能够为此提供一些有用的信息: - ) 预先感谢. 解决方案 最新版本的ADF(3.0,Windows Server 2012 R2中包含)具有称为" Workplace Join"的功能.这可用于将iPad等加入Active Directory,并在iPad上获取单个登录并存储证书. 这里是ADFS 2012 R2的不错概述.
0 2024-01-19
编程技术问答社区
ADFS服务器上SAML LogOutRequest处理失败
我将ADFS服务器作为IDP.我有单独的SP应用程序.这些是在信任圈中定义的. SSO超过SAML协议工作正常.当我尝试SP启动登录请求时,我在ADFS方面出现了错误: msis7000:请求中的登录不符合Web浏览器客户端的WS-Federation语言或SAML 2.0协议WebSSO配置文件. 编辑来自ADFS事件的更多详细消息跟踪: msis7015:根据HTTP SAML协议绑定,该请求不包含预期协议消息或不正确的协议参数. 我已经回顾了MU登录SAML消息,看起来正确.只需提及同一SP与forgerocks IDP(ex sun opensso)正确弹跳. SAML LOOUT请求消息:
2 2024-01-19
编程技术问答社区
Keycloak AD FS的相互作用
我在KeyCloak中创建了SAML身份提供商.单个签名URL为如果我现在使用的是keycloak-user-login,我会看到一个链接,我将在其中重定向到单个签名页面,但是之后我会遇到错误,因为我没有指定任何查询参数,例如wa=signin1.0或whr=https:\\foo\adfs\services\trust或wtrealm=https:\\sso.foo.bar 如果我正确地将此参数包含在标志签名URL中,我可以登录,但是KeyCloak无法认识到发生了什么. 在我看来,因为单个签名URL什么都不做,而我在KeyCloak中配置的身份提供商无用. 任何人都可以帮助我做一些指针,以增加我对AD FS与KeyCloak之间的相互作用以及它们如何共同努力的理解? 解决方案 我最近在一个项目中工作,我们设置了KeyCloak,以充当ADFS IDP的SP. 我们只能在设置以下设置时正确处理SAML请求: IDP URL:${IDP_URL}/a
4 2024-01-19
编程技术问答社区