【问题标题】:SAML SSO not working in Websphere LibertySAML SSO 在 Websphere Liberty 中不起作用
【发布时间】:2022-02-15 01:15:29
【问题描述】:

我第一次尝试在 Liberty 中实现 SSO。我在 Liberty 中有一个应用程序,我希望成为服务提供者并使用 Azure 作为身份提供者。目前我想让 SP 启动。

按照以下链接中的第一步:

https://www.ibm.com/docs/en/was-liberty/base?topic=liberty-configuring-saml-web-browser-sso-in

我已经把 samlWeb-2.0 还有

进入 server.xml,我看到 SAML 启动。

然后我能够从 ibm/saml20/defaultSP/samlmmetadata url 获取 SP 元数据。

我从 Azure 获得 IDP 元数据并安装在 resources/security/idpMetadata.xml 中。

所以当我访问我的应用程序时,它会转到上面的登录页面,但我收到消息:

AADSTS750054:SAMLRequest 或 SAMLResponse 必须作为查询字符串参数出现在 SAML 重定向绑定的 HTTP 请求中。

这是真的——没有查询参数。我在这里想念什么?为什么 Liberty 不尝试构建授权请求?

另外,Azure 希望我安装一个证书(Base64 或 Raw),我假设它进入了安全文件夹,但我不应该引用它吗?我注意到 iDp 元数据中有 X509Certificate 标签,所以我不确定 cer 文件是如何发挥作用的。

如果有人能提供任何指导,我将不胜感激。

【问题讨论】:

  • 我建议您按照这些步骤进行操作,如果您发现解决方案很棒:-) 如果您仍然需要帮助,请告诉我们您在查看跟踪/日志等时发现了什么。

标签: azure single-sign-on saml websphere-liberty login-page


【解决方案1】:

AADSTS750054 SAMLResponse 必须作为查询字符串参数出现在 SAML 重定向绑定的 HTTP 请求中。

此错误是由于 sso_1.sp.login.error.page 属性使用了不正确的 idP 登录页面 URL。

您配置的 SAML SSO 是 idP 发起的 SSO,WebSphere 不支持 SAML 重定向绑定。它只支持 SAML POST 绑定。本文档包含有关该错误的更多信息: https://www.ibm.com/support/pages/node/277989

搜索 AADSTS750054

如果您有 sso_1.sp.login.error.page 指向在 azure 中定义为登录页面的页面,则该 url 需要发送 SAMLRequest。

尝试将 sso_1.sp.login.error.page 更改为 Azure 控制台“Azure > 属性 > 访问 URL”中的值,然后进行测试。

【讨论】:

    【解决方案2】:

    LIberty 支持 HTTP POST 绑定。看起来您的 Azure 已配置为支持 HTTP 重定向绑定。您能否修改您的 Azure 设置以启用 HTTP POST 绑定?

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-05-21
      • 2017-10-22
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2018-12-08
      相关资源
      最近更新 更多