那些遇到过的问题

ADFS spring-saml在依赖方上配置了AssertionConsumerService

ale*_*o77 4 adfs2.0 spring-saml

带有ADFS idp的saml.rutime错误,在非adfs idp中导入sp非签名元数据没有问题,但我在运行时遇到问题:

在idp身份验证之后,在成功身份验证上,在idp页面上我收到了如下信任错误:

The request specified an Assertion Consumer Service URL
'https://test.it/au/login' that is not  configured on the relying party     'microsoft:identityserver:test.it'. 
Assertion Consumer Service URL: https://test.it/au/login  Relying party:     microsoft:identityserver:test.it 
that is a prefix match of the AssertionConsumerService URL     'https://test.it/au/login' specified by the request.
This request failed.
Run Code Online (Sandbox Code Playgroud)

MY SP METADATA是这样的:

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"     ID="test.it" entityID="test.it">
<md:SPSSODescriptor AuthnRequestsSigned="false" 
WantAssertionsSigned="false"     protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:KeyDescriptor use="signing">
<md:AssertionConsumerService         Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" 
Location="https://test.it:443/au/login" index="0" isDefault="true"/>
Run Code Online (Sandbox Code Playgroud)

我可以补充一下:如果我从/adfs/ls/idpinitiatedsignon.htm启动auth进程,我选择我的sp提供程序(所以我排除了saml2p上的问题:AuthnRequest),有一个帖子重定向到https://test.it/au/lo gin"我想知道我在idp上的端点是如何在它上面有空白的.

我发现这篇文章似乎解释了 http://social.technet.microsoft.com/wiki/contents/articles/4039.ad-fs-2-0-the-request-specified-an-assertion-consumer-service- url-that-not-configured-on-relying-party.aspx 简而言之,它说:

有两种选择:

  1. 配置RP,以便在AuthnRequest中未指定AssertionConsumerService

  2. 配置RP以在AuthnRequest中发送AssertionConsumerService值,该值与AD FS 2.0中RP Trust的Endpoints选项卡上的AssertionConsumerService值匹配.

你怎么看

如果我使用entityID ="https://test.it:443/au/login"生成元数据而不是entityID ="test.it"可以避免此安全问题?

或者我应该删除saml:request中的AssertionConsumerService(是否可以通过配置)?

或者应该idp经理做更好的配置?

Dan*_*uus 8

不确定它是否与您面临的问题相同,但在我的结尾有同样的错误,问题是我没有在我的服务提供商上添加断言端点作为身份提供商的AD FS中的SAML断言消费者端点.

值得一试,无论如何:)在mmcIdP上,添加AD FS管理单元.然后在AD FS> 下找到您的SP配置Relying Party Trusts.我叫Test SSO.右键单击它,选择Properties,然后在Endpoints选项卡上,检查您的服务提供程序断言端点URL是否列在下面SAML Assertion Consumer Endpoints.

我的工作配置是

Endpoint type:        SAML Assertion Consumer
Binding:              POST
Default:              Yes
Index:                0
Trusted URL:          https://1337.local/adfs/ls
Run Code Online (Sandbox Code Playgroud)

并且Trusted URL是我在SP上的断言端点,即ADFS在经过身份验证后发布SAML有效负载的位置.

归档时间:

查看次数:

9458 次

最近记录:

6 年,8 月 前
相关归档
AD FS 2.0身份验证和AJAX 15
使用SimpleSAMLPHP SP和ADFS IDP的请求者/ InvalidNameIDPolicy错误 10
Spring SAML示例应用程序返回无法初始化类org.apache.commons.ssl.TrustMaterial 9
如何更改我的WCF的FederationMetadata.xml文件以进行各种部署? 6
查询字符串未在SAML HTTP重定向绑定中保留 6
在Spring Security SAML身份验证请求中配置POST ProtocolBinding 5
适用于多个 IDP 的 Spring SAML 扩展 5
验证SAML邮件时出错 5
"验证消息的安全性时发生错误"对ADFS进行身份验证时出现异常 4
使用Spring SAML处理SAML响应 3
难疑归档
如何在本地和远程删除Git分支? 16311
Reference — What does this symbol mean in PHP? 4314
URI,URL和URN有什么区别? 4217
是否可以将CSS应用于角色的一半? 2717
在一行中初始化ArrayList 2626
O(log n)究竟意味着什么? 2021
什么是智能指针,什么时候应该使用? 1730
接口和抽象类之间有什么区别? 1705
用64位替换32位循环计数器会引入疯狂的性能偏差 1370
参考 - 这个错误在PHP中意味着什么? 1071