【问题标题】:OpenAM as IDP does not redirect back to SPOpenAM 作为 IDP 不会重定向回 SP
【发布时间】:2015-03-05 13:33:37
【问题描述】:

我遇到了 OpenAM 问题。需要你的帮助。

我安装了 OpenAM 并将其简单地配置为 IDP - 设置名称和信任圈。然后我通过上传SP元数据添加了一个远程SP,见下文

<?xml version="1.0" encoding="UTF-8"?>
<EntitiesDescriptor Name="urn:mace:shibboleth:testshib:two" xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" mlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<EntityDescriptor entityID="http://192.168.0.6:8080/employee/">
    <SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol http://schemas.xmlsoap.org/ws/2003/07/secext">
        <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
        </NameIDFormat>
        <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
        </NameIDFormat>
        <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://192.168.0.6:8080/employee/" index="1" isDefault="true" />
    </SPSSODescriptor>
</EntityDescriptor> 
</EntitiesDescriptor>

SP 和 IDP 在同一个信任圈中。

当我对从 SP 到 IDP 的身份验证进行 SAML 请求时,我会以 SAMLRequest=... 作为 URL 参数进入 OpenAM 的登录页面。解码后的 SAMLRequest 在下面

<samlp:AuthnRequest AssertionConsumerServiceURL="http://192.168.0.6:8080/employee/"
Destination="http://192.168.0.7:8181/openam/" ForceAuthn="false"
ID="ID_479ff8a2-8dc5-44b5-997f-0438a2d87417" IsPassive="false"
IssueInstant="2015-01-07T13:31:01.067Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Version="2.0">
    <saml:Issuer>http://192.168.0.6:8080/employee/</saml:Issuer>
    <samlp:NameIDPolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" />
</samlp:AuthnRequest>

然后我登录并进入 OpenAM 中的用户个人资料页面,而不是重定向到 SP。为什么会发生?我应该配置什么来启用重定向回 SP?

【问题讨论】:

  • 有人知道吗?

标签: authentication saml openam


【解决方案1】:

你可以做几件事:

  • 安装 OpenAM 时不要使用 IP 地址,因为这些地址上不会保存 cookie,所以很容易遇到这种奇怪的问题。
  • 如果您启用了 goto URL 验证(默认情况下它已禁用),则存在一些关于未正确处理重定向 URL 的旧错误。不确定您使用的是哪个版本,因此这可能并不真正适用于您。
  • 您应该使用 LiveHTTPHeaders Firefox 插件或类似工具来捕获网络流量,这样您就可以看到 HTTP 请求是如何进行的。这应该可以帮助您确定哪里出了问题。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-01-03
    • 1970-01-01
    • 2015-09-24
    • 2016-09-16
    • 2013-03-27
    相关资源
    最近更新 更多