【发布时间】:2014-04-28 19:01:49
【问题描述】:
我有服务提供商应用程序http://sp.example.com/sp,当用户通过浏览器访问它时,用户会从我的 SP 应用程序重定向到 IdP 服务器,该服务器在 PingFederate 服务器上配置,SP 连接 (http://sp.example.com/sp) 作为实体 ID。用户通过带有SAML AuthnRequest 的 SAML 协议重定向到 IdP。但是在 Ping 服务器上,我不断收到这个错误,上面写着
unable to lookup idp connection metadata for entityid='http://sp.example.com/sp'
有人在使用 Ping 之前遇到过类似的错误吗?这是 SP 发起的 SSO。
我发送给 PingFederate 的请求
<?xml version="1.0" encoding="UTF-8"?><samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" AssertionConsumerServiceURL="https://sp.example.com/sp" Destination="https://idp.com/sp/ACS.saml2" ForceAuthn="false" ID="_93313f7882ff7b3274da46502c4cf072" IsPassive="false" IssueInstant="2014-04-29T15:15:04.666Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Version="2.0"><samlp:Issuer xmlns:samlp="urn:oasis:names:tc:SAML:2.0:assertion">https://sp.example.com/sp</samlp:Issuer><saml2p:NameIDPolicy xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" AllowCreate="true" SPNameQualifier="https://sp.example.com/sp"/><saml2p:RequestedAuthnContext xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" Comparison="exact"><saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef></saml2p:RequestedAuthnContext></samlp:AuthnRequest>
【问题讨论】:
-
你能把你的元数据贴在某个地方吗,gist.github.com 可能吗?
-
@Stefan 给你gist.github.com/yogsma/11404390
-
我没有使用 Ping,但听起来您的 idp 元数据有问题。你能把它正确导入 Ping 吗?
-
是的,我将元数据和所有详细信息发送给 Ping 支持,他们没有发现任何问题。他们还不能解决问题。
-
正如您的支持工程师在您的案例中指出的那样,您在 SP 配置中定义的目的地是错误的。它需要指向idp.com/idp/SSO.saml2,而不是指向idp.com/sp/ACS.saml2。和你一起工作的工程师非常好,她知道她在说什么。我敢打赌,她为你安排的电话会议会解决所有问题。
标签: saml-2.0 pingfederate