【发布时间】:2015-04-08 09:23:16
【问题描述】:
我对 WSO2 身份服务器 (IS) 中的 SSO 配置有疑问。目前,该请求会将用户重定向到 WSO2 IS 中的登录页面,并且用户将在此处提供他们的凭据。 WSO2 IS 是否已经为 SSO 身份验证提供了端点?我想将 WSO2 IS 作为后台运行并调用端点进行身份验证
我怎样才能做到这一点?
【问题讨论】:
标签: wso2 single-sign-on wso2is
【发布时间】:2015-04-08 09:23:16
【问题描述】:
您可以在 Web 应用程序中配置自定义登录页面,而不是使用 WSO2 的登录页面。请参考以下关于如何自定义 SSO 登录的教程 [1]
[1]https://docs.wso2.com/display/IS500/Customizing+Login+Pages
【讨论】:
我们可以实现SAML2 SSO、OpenId、OpenID Connect等SSO机制。
SAML2 的配置文件规范定义了基于 Web 浏览器的 SSO。 WSO2 身份服务器充当 SAML2 SSO IDP。在 SSO 环境中,我们可以使用基于 SAML 的身份验证来向 WSO2 Server 验证用户身份。
我们需要将 Web 应用程序注册为 SAML2 SSO 服务提供商。 Web 应用程序将使用 SAML2 SSO Web 浏览器配置文件与 WSO2 身份服务器通信。所以我们需要在入站身份验证配置下为服务提供者配置 WSO2 IS。有关 SAML2 SSO IDP 配置,请参阅 1。
默认情况下,最终用户可以提供用户名/密码并通过 WSO2 IS 进行身份验证。 IDP 通过使用 IDP 的用户存储验证用户名/密码来验证用户。服务提供者提供的默认认证。
注意:在本地和出站身份验证配置下,我们只是将其保留为默认身份验证类型。默认情况下,本地身份验证器为“basic-auth”,作为本地和出站身份验证配置下的请求路径身份验证配置。本地身份验证是身份服务器中启用的身份验证。否则,您可以添加本地身份验证器。有两种类型的本地身份验证器。
- OAuthrequestPath|身份验证器
- BasicAuthRequestPathAuthenticator
所有配置完成后,我们就可以登录Web应用程序了。当尝试登录 Web 应用程序时,它将被重定向到身份服务器 SAML2 SSO 登录页面。以下是 SAML 登录请求的步骤,
- Web 浏览器向“/samlsso”servlet 端点发送 SAML 请求
- “/samlsso”将请求重定向到“/commonauth”servlet (http 302)
- Commonauth 将请求重定向到“authenticationendpoint/login.do?” (http 302)。现在我们可以看到登录页面了。
一旦我们提供了有效的凭据,我们就可以登录到 Web 应用程序。
注意:它再次调用“/commonauth” servlet 端点。如果验证成功,它将重定向到 ACS URL(断言消费者服务)。
我们还可以使用 WSO2 IS 配置 IDP 发起的 SAML2 SSO。
要自定义身份验证端点,SAML SSO、OAuth、OpenID 和 Passive STS 的所有登录页面都位于名为 authenticationendpoint 的 webapp 内。
例如:对于 samlsso
IS_Home/repository/deployment/server/webapps/authenticationendpoint/samlsso/samlsso_login.jsp
在默认的 Web 应用程序中,当请求到达登录页面时,它首先由 AuthenticationEndpoint servlet 提供服务。在检查这是一个与 SAMLSSO 相关的请求后,它被转发到 SAMLSSOLogin servlet,它最终转发到我之前提到的 samlsso_login.jsp。如需自定义登录页面,请参阅 this blog 。
谢谢
【讨论】: