标签: single-sign-on

尝试管理 SSO 设置时，我的开发机器上出现以下错误：

ERROR: 0xC0002A0F : Could not contact the SSO server 'SSODB'. Check that SSO is
configured and that the SSO service is running on that server.

企业单点登录服务、RPC服务、COM+系统应用服务我检查的时候都启动了，但是我还是重启了，也没有解决问题。我可以通过 SSMS 访问 SSODB。

我通过 BizTalk 取消配置 SSO 并重新配置它（成功）。唉，这也没有帮助。

SSO 以前运行良好。今天早上重启后我确实注意到我的浏览器主页被重置回我们的公司网站（这意味着我今天早上登录时可能已经将某些内容推送到机器上）但我团队中的其他人没有遇到同样的问题。

我不确定接下来要尝试什么。谁有想法？

如何使用 adfs 2.0（活动目录联合服务）进行单点登录，请给我示例步骤。我使用 Visual Studio 2010 和 linq 进行编码，我的项目基于学校管理系统。

如果有另一种方法可以使用活动目录的概念在我的项目中进行单点登录，那么还请告诉我该方法。使用合适的示例。

是否可以在本地服务器上安装 adfs。？

我尝试在虚拟专用服务器上安装它，但我失败了。由于操作系统版本问题。如果可能的话，请告诉我有关它的详细信息。

提前致谢。！

我是单点登录概念的新手.我们已经有一个管理其用户的Java Web应用程序.现在要求验证将由客户端的SSO Idp(使用SAML)提供,之后请求将转发到我们的应用程序.由于我之前没有实现过这样的任何内容,因此我需要澄清以下查询以继续进行:

1. 如何在SSO IdP验证后检查请求？
2. 如何管理会话？因为会话将在客户端创建.
3. 如果他们点击退出是更好的留在我们的应用程序或重定向到用户访问我们的应用程序？

客户端有一个内部应用程序,它包含许多应用程序的链接,这些应用程序使用相同的SSO IdP.用户无法直接访问互联网.

任何有助于我理解从IdP方面发起的SSO的教程或起点都会有所帮助.

谢谢.

我有两个网站,我想与SSO连接.一个是商店,使用Magento,我希望这是一个"真相来源",它拥有所有成员并将处理身份验证.另一个是使用CMS(SilverStripe)的营销网站,我希望它在用户从一个站点更改为另一个站点时保持会话.

我的背后想法是,从Magento商店到营销网站的链接将在请求中传递令牌,营销网站将能够使用Magento中的某种端点来验证该令牌.

免责声明:我没有使用Magento的经验.

情境

当外部用户登录到我们的Sharepoint网站并导航到我们的Web应用程序时，他们将被重定向到我们的Azure AD租户-完整终结点登录页面，因为他们已经通过Sharepoint网站进行了身份验证，尽管他们没有AzureAD和ADFS输入/选择用户帐户并重定向到Web应用程序。

当内部用户导航到Web应用程序时，他们将被定向到我们的Azure AD的完整租户终结点插入页面，因为他们没有通过AzureAD和ADFS进行身份验证，因此必须输入用户名。当用户输入用户名时，将执行Home Realm Discovery，并将其重定向到ADFS服务器，因为他们正在从Intranet访问Web应用程序，因此会自动进行身份验证并重定向回该Web应用程序。

因此，内部用户可以绕过输入用户名，domain_hint可以提供参数，并且此参数可以正常运行，但是我们的内部和外部用户位于不同的租户中，因此域不同。

是否可以为domain_hint尚未通过身份验证的用户设置默认值？

使用OWIN OpenIdConnect，ASP.Net MVC。该Web应用程序是在与本地ADFS联合的AzureAD中配置的。

类似的，但我们不知道家庭领域

在 CAS 中，您有票证授予票证 (TGT) 和服务票证 (ST)。如果您已经拥有 TGT，我不明白为什么还需要 ST。您可以简单地验证 TGT 并为 TGT 的所有者向客户端返回一个绿灯以进行授权。

那么为什么我们在 TGT 旁边需要一张名为 ST 的附加票？

我使用 keycloak 作为 simplesamlphp 身份提供者的身份代理，以便登录到 angular 应用程序。

keycloak 使用登录掩码正确重定向到身份提供者。登录后，身份提供者按预期重定向到 keycloak。不幸的是，我收到以下错误消息（作为 JSON）：

{"error":"invalid_request","error_description":"Missing parameter: username"}

我的 IdP 有一个用户，我的 keycloak 没有，因为我不想将用户另外存储在 keycloak 中。

我的经纪人配置如下所示：

我的客户端配置是这样的：

我既不熟悉 SAML 也不熟悉 Keycloak，所以如果我需要提供任何其他信息，请告诉我。

我正在尝试弄清楚如何对 Outlook 加载项进行单点登录身份验证。我有我的清单文件，但每当我尝试上传它时，我都会收到以下错误：

无法安装此应用。清单文件不符合架构定义。元素“OfficeApp”命名空间“ http://schemas.microsoft.com/office/appforoffice/1.1 ”在命名空间“无效子元素“VersionOverrides” http://schemas.microsoft.com/office/mailappversionoverrides/1.1 ” . 预期的可能元素列表：命名空间“ http://schemas.microsoft.com/office/mailappversionoverrides ”中的“VersionOverrides”以及命名空间“ http://www.w3.org/2000/09/xmldsig# ”中的任何元素'... 命名空间 ' http://schemas.microsoft.com/office/appforoffice/1.1 ' 中的元素 'OfficeApp ' 具有无效的子元素 'VersionOverrides'http://schemas.microsoft.com/office/mailappversionoverrides/1.1 '。预期的可能元素列表：命名空间“ http://schemas.microsoft.com/office/mailappversionoverrides ”中的“VersionOverrides”以及命名空间“ http://www.w3.org/2000/09/xmldsig# ”中的任何元素'。

这是我的清单文件：

 <?xml version="1.0" encoding="UTF-8"?>
<OfficeApp
          xmlns="http://schemas.microsoft.com/office/appforoffice/1.1"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xmlns:bt="http://schemas.microsoft.com/office/officeappbasictypes/1.0"
          xmlns:mailappor="http://schemas.microsoft.com/office/mailappversionoverrides/1.0"
          xsi:type="MailApp">

  <!-- Begin Basic Settings: Add-in metadata, used for all versions of Office unless override provided. -->

  <!-- IMPORTANT! Id must be unique for your add-in, if you reuse this manifest ensure that you change this id to a new GUID. --> …

我在一家医疗保健 SaaS 公司工作，我们所有的 SSO 都使用 SAML 2.0，而我们不能使用 LDAP。我们现在有一个特定的客户，他想要使用 ADFS 从他们的 Intranet 到我们的站点进行 SSO，并且似乎表现得好像 LDAP 是唯一的选择（并且他们无法为我们的握手生成 SAML 断言）。

SSO 和 SAML 有什么区别？一个人可以完成另一个人不能完成的事情？为什么我的公司需要 SAML over LDAP？

我从研究中得出的理论，但欢迎更正：

-由于身份验证/加密，SAML 比 LDAP 更安全（但我不知道具体情况）

-LDAP 更广泛地用于公司，但 SAML 经常用于企业客户端

-LDAP 还可用于控制用户对他们有权访问的其他程序/站点的访问（即 IT 和撤销对已终止员工的访问权限）

感谢您的帮助！

当启动登录时，Keycloakrelaystate在请求中发送一个参数。但是成功登录后 PingFederate 不会返回 this relaystate。

奇怪的是，如果我TARGET向 PingFederate 请求 URL添加一个参数，它将将该参数的值返回为RelayState. 我错过了什么？

https:/<pingfed>/idp/startSSO.ping?PartnerSpId=keycloak&TARGET=someURL