【问题标题】:SAML gives unhadeled exceptionSAML 给出未处理的异常
【发布时间】:2019-07-05 05:26:42
【问题描述】:

我在尝试通过 SSO 登录时收到以下错误消息

sspmod_saml_Error: Responder/AuthnFailed: Transaction was cancelled

这个错误的原因是什么? SAML 配置或身份验证?请指教

【问题讨论】:

    标签: php single-sign-on saml


    【解决方案1】:

    问题 1:我在尝试通过 SSO 登录时收到以下错误消息。 这个错误的原因是什么? SAML 配置或身份验证?

    回答
    错误“Responder/AuthnFailed”表示 SAML 身份验证失败。 SAML 配置错误是 SAML 身份验证失败的根本原因之一。

    六 (6) 个 SAML 身份验证失败的典型根本原因是

    • 必须在您的 SAML IdP 提供的颁发后 5 分钟内兑换 SAML 响应/断言/令牌。换句话说,SAML SP 应该与 SAML IdP 同步。换言之,SAML SP 服务器时间应该与 SAML IdP 服务器时间几乎相同。检查另一个 StackOverflow 问题 ExpiredTokenException when I SAML SSO login AWS from my local IdP 提供的解决方案。
    • SAML IdP 元数据提供了错误的公共证书/密钥来验证 SAML SP 的签名断言。检查另一个 StackOverflow 问题 ExpiredTokenException when I SAML SSO login AWS from my local IdP 提供的解决方案。
    • 与三 (3) 个不同公共证书相关的 SAML IdP 配置错误。 GitHub 存储库中的How to build and run Shibboleth SAML IdP and SP using Docker container 提供了 Shibboleth SAML IdP 元数据“shibboleth-idp-dockerized/ext-conf/metadata/idp-metadata.xml”,该元数据已通过成功的 SSO 验证,适用于众多企业应用程序。这个 Shibboleth SAML IdP 元数据由三个签名证书(签名响应、签名断言和加密断言)组成,依赖方配置“shibboleth-idp-dockerized/ext-conf/conf/relying-party.xml”允许系统管理员确定SAML IdP 是否需要签署响应、签署断言或加密断言。
    • SAML 响应/SAML 断言(由 SAML IdP 发送)携带的名称 ID 格式不符合 SAML SP 的要求。
    • SAML 响应/SAML 断言(由 SAML IdP 发送)携带的用户属性不符合 SAML SP 的要求。例如,Amazon AWS SAML SP 需要由 SAML IdP 发送的他们自己的特定用户属性(即 Role 和 RoleSessionName)。
    • SAML 响应/SAML 断言(由 SAML IdP 发送)提供了错误的 SAML SP EntityID。

    【讨论】:

    • 是的。它仍然意味着 (1) saml 证书上的身份验证错误或 (2) 名称 ID 格式或 (3) SAML 响应/SAML 断言携带的用户属性。例如,Amazon AWS 需要由 SAML IdP 发送的它们自己的特定用户属性(即 Role 和 RoleSessionName)。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2011-10-10
    • 1970-01-01
    • 2013-06-08
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-11-19
    相关资源
    最近更新 更多