【问题标题】:WSO2 Identity Server fails to perform authentication SAML2.0 when consumer URL inaccessible当消费者 URL 不可访问时,WSO2 身份服务器无法执行身份验证 SAML2.0
【发布时间】:2014-07-31 21:15:42
【问题描述】:

WSO2 身份服务器无法执行身份验证 SAML2.0 消费者 URL 不可访问

我们将 WSO2 Identity Server 4.6.0 用于基于 SAML 2.0 的单点登录。

当服务提供商的断言消费者 URL 可以从 WSO2 IS 节点直接“访问”(网络连接)时,身份验证工作正常。

但是,如果我用断言消费者注册一个新的服务提供者,我会得到一个错误

无法从身份提供者直接访问的 URL:WSO2 IS,但可访问

来自请求用户代理,即浏览器。

  • 用户代理请求被重定向到 WSO2 IS (login,do?SAMLRequest=nZP...)

  • 但是 POST /commonauth 失败,返回以下状态码 302 和 Location 标头 Location: authenticationendpoint/samlsso_notification.do?status=处理身份验证请求时出错!&statusMsg=消息未被 SAML 2.0 识别SSO 提供程序。详情请查看日志

例如,预置的断言消费者 URL 是指一个只能从请求浏览器访问的私有 IP 地址。

我也尝试提供主机名,但没有成功。

下面是我们从 WSO2 IS 日志中得到的错误:

TID: [0] [IS] [2014-06-10 17:54:52,344] 错误 {org.wso2.carbon.identity.sso.saml.servlet.SAMLSSOProviderServlet} - sessionDTO 的值为 null。这可能是由于主机名设置 {org.wso2.carbon.identity.sso.saml.servlet.SAMLSSOProviderServlet}

从浏览器:

基于 SAML2.0 的单点登录

知道身份验证请求为何失败以及 SSO 提供者为何抱怨“无法识别的消息”。

感谢您的支持

JS

【问题讨论】:

    标签: saml-2.0 wso2is


    【解决方案1】:

    如果您的身份服务器前端带有代理服务器或负载平衡器,请尝试配置服务器代理配置。 [1]http://soasecurity.org/2014/04/11/handling-server-redirects-when-it-is-a-proxy/

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2018-02-17
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多