所以我正在尝试将单点登录与 Auth0(既是服务提供者又是身份提供者)与 Atlassian 堆栈集成。
Atlassian 提供 SAML 单点登录。但是,它告诉我:
Your users won't be able to log in with SAML single sign-on until you've copied
the values for SP Entity ID and SP Assertion Consumer Service URL to your
identity provider.
我已经用断言消费者服务 URL 代替了回调 URL,我做了一些研究,几乎可以肯定这是正确的。
但是,问题在于实体 ID。这个去哪儿了?
【问题讨论】:
标签: single-sign-on saml auth0
我假设 auth0 充当服务提供者。
断言消费者服务 URL 应该是:
https://YOUR_DOMAIN/login/callback?connection=YOUR_CONNECTION_NAME
服务提供者的实体 ID 应该是:
urn:auth0:YOUR_TENANT:YOUR_CONNECTION_NAME
您可以下载如下 XML 格式的服务提供商元数据并上传到 IDP 以生成配置。
导航到https://YOUR_DOMAIN/samlp/metadata?connection=YOUR_CONNECTION_NAME
补充:
URI:
urn:oasis:names:tc:SAML:2.0:nameid-format:entity表示 元素的内容是一个实体的标识符 提供基于 SAML 的服务(例如 SAML 授权)或者是 SAML 配置文件的参与者(例如支持 浏览器 SSO 配置文件)。这样的标识符可以用在 标识 SAML 请求、响应的发布者的元素, 或断言,或在元素内作出断言 可以发出 SAML 请求、响应和 断言。它也可以用在其他元素和属性中 目的是在各种协议交换中识别系统实体。 这种标识符的语法是不超过 1024 的 URI 个字符的长度。建议系统实体使用 URL 包含自己的域名以标识自己 (SAML CORE 规范,第 8.3.6 节) https://www.oasis-open.org/committees/download.php/7473/sstc-saml-core-2.0-draft-15-diff.pdf https://spaces.at.internet2.edu/display/InCFederation/Entity+IDs
【讨论】:
我之前没有使用过 Auth0,但我认为您必须在设置中将其设置为 audience,例如见https://auth0.com/docs/protocols/saml/saml-apps/heroku
恕我直言,但配置选项有点误导。而不是使用audience,使用EntityID 可能更清楚,因为这也是 SAML 规范中使用的术语。
【讨论】: