标签: single-sign-on

我有一个使用site-minder进行Web SSO身份验证的ASP.NET 3.5应用程序.我在应用程序中有一个注销功能,用户可以单击"注销"按钮.我在按钮的事件处理程序中放弃/删除/清除会话.此外,我还清除所有cookie以放弃会话.但是,由于应用程序使用siteminder进行身份验证,因此会话实际上并未被删除.单击注销后,如果用户导航到任何页面,则仍会创建会话(从siteminder获取),而无需将用户重定向到WebSSO登录页面.

请您告诉我如何在退出时删除siteminder会话？在应用程序/ IIS/siteminder级别是否有任何特定于siteminder的配置更改,以使其工作？

任何帮助高度赞赏!

谢谢

一个多星期以来,我一直在讨论这个问题.我们有一个我们想要实施SSO的网络应用程序.SSO与我们客户的Windows活动目录(即我们基本上需要对我们客户的活动目录进行身份验证,没有太多麻烦)

我唯一可以肯定的是,我将需要一个必须与身份提供商进行通信的安全令牌服务.我的问题:

• 哪种服务最适合上述场景(AD FS？OpenID&OAuth 2.0？SAML 2.0和shibboleth？)
• 我如何连接到客户端的活动目录？也许我不明白如何使用STS,有人可以澄清吗？我正在使用Azure Web App
• 每个客户都必须有不同的IdP吗？客户是否需要做的不仅仅是提供标准信息？这些信息是什么？

...我应该使用Windows Identity Foundation吗？

帮助:( ......这是一个SOS

如果有人能够澄清,我会永远感激.我通常赞成任何我认为有用的东西,并接受最好的答案,所以随时回答您认为可能有助于我理解如何实现我所追求的目标.

我有一个SimpleSamlPHP实现作为服务提供者,因此工作流程如下:

IdP向我的ACS URL发送断言:

/simplesaml/module.php/saml/sp/saml2-acs.php/default-sp

但后来看起来他认证并被重定向到

/simplesaml/module.php/saml/sp/saml2-acs.php

由于没有指定authsource(/ default-sp部分),因此抛出错误:

SimpleSAML_Error_Error: UNHANDLEDEXCEPTION
Backtrace:
0 *\simplesamlphp\www\module.php:180 (N/A)
Caused by: SimpleSAML_Error_Exception: No authentication source with id false found.
    Backtrace:
    2 *\simplesamlphp\lib\SimpleSAML\Auth\Source.php:242 (SimpleSAML_Auth_Source::getById)
    1 *\simplesamlphp\modules\saml\www\sp\saml2-acs.php:8 (require)
    0 *\simplesamlphp\www\module.php:135 (N/A)

但是,它也有一组PHP错误输出到页面:

Warning: array_key_exists(): The first argument should be either a string or an integer in *\simplesamlphp\lib\SimpleSAML\Configuration.php on line 314 
Warning: Cannot modify header information - headers already sent by (output started at *\simplesamlphp\lib\SimpleSAML\Configuration.php:314) in *\simplesamlphp\lib\SimpleSAML\Error\Error.php on line 191 
Warning: Cannot modify header information - headers already …

语境：

我正在尝试使用 ADFS SSO 并按照本教程首先连接到 Azure AD：

http://www.cloudidentity.com/blog/2013/10/25/securing-a-web-api-with-adfs-on-ws2012-r2-got-even-easier/

那奏效了。

然后按照其他教程尝试使其连接到我们的 Win Server 2012 R2 上的 ADFS：

http://www.cloudidentity.com/blog/2013/10/25/securing-a-web-api-with-adfs-on-ws2012-r2-got-even-easier/

正如他们在第三个教程中所说：https : //msdn.microsoft.com/en-us/library/dn660967.aspx

我收到 SSL 证书错误：

问题：

我知道我可以绕过证书验证或在ServicePointManager.ServerCertificateValidationCallback 中放置特殊逻辑来解决这个问题，但是因为我在本地机器“受信任的根证书颁发机构”中导入了证书......：

1. ... 为什么我的服务仍然抱怨证书？

2. ...有没有办法告诉我的 C# 服务接受“受信任的根证书颁发机构”存储中的所有证书？

注意：我确实实现了ServicePointManager.ServerCertificateValidationCallback并且有效，但是由于我们将得到一大堆客户向我们发送他们的 ADFS 证书，我只想将他们的证书导入证书存储中，让我们的服务信任他们。

谢谢

我正在研究一个本机iOS应用程序,它将检索我将在Bluemix Liberty或node.js应用程序上创建的Web服务.我面临的挑战是需要通过Single Sign On或oAuth进行保护.我需要提供者是IBM ID.我之前在Liberty上实现了SSO(W3),用于基于Web的应用程序,但想知道是否可以使用相同的方法(尽管是WWW)来保护我的应用程序的Web服务.

谢谢.

我做了教程,使用IoT Foundation Service和.js样板可视化来自我的覆盆子pi的数据.

我按照以下教程:

https://developer.ibm.com/recipes/tutorials/visualizing-your-data/

一切正常.

现在,我尝试添加单点登录服务以进行身份​​验证.我创建了一个云注册表并添加了两个测试用户.之后,我将服务绑定到我的IoT可视化.js应用程序,并完成了将我的应用程序与服务集成的步骤.我按照官方文档步骤(点"配置Node.js应用程序"):

http://www.ng.bluemix.net/docs/services/SingleSignOn/configure_apps.html#tsk_configuringnodejsapp_express4

我修改了我的电脑上的文件,并使用CL CLI上传它们.问题是,它没有改变任何东西.我可以像以前一样访问我的应用程序,但是我没有看到任何登录页面.

这是我的文件:

的package.json

{
  "name": "iot-visualization",
  "version": "0.1.0",
  "private": true,
  "scripts": {
    "start": "node app.js"
  },
  "dependencies": {
    "passport": "*",
    "cookie-parser": "*",
    "express-session": "*",
    "passport-idaas-openidconnect": "*",
    "express": "~4.2.0",
    "serve-favicon": "~2.1.0",
    "morgan": "~1.0.0",
    "cookie-parser": "~1.0.1",
    "body-parser": "~1.0.0",
    "debug": "~0.7.4",
    "jade": "~1.3.0",
    "stylus": "0.42.3",
    "express-session": "^1.8.1"
  }
}

app.js(URL修改)

/*******************************************************************************
* Copyright (c) 2014 IBM Corporation and other Contributors.
*
* All rights reserved. This program and the accompanying materials
* are made …

我正在尝试使用Keycloak作为外部身份提供程序在React-Redux应用程序上实现SSO.如果用户未经过身份验证,则意图是重定向到IdP的登录页面,并且在成功进行身份验证后,使用access_token访问另一个REST API微服务上的受保护资源.

我尝试使用Keycloak的NodeJS适配器(https://keycloak.gitbooks.io/documentation/securing_apps/topics/oidc/nodejs-adapter.html),它能够将我重定向到IdP登录,我可以得到access_token但这一切都发生在快速会话中并使用MemoryStore.我想知道这是否可以？在快递商店中保存JWT并在进行API调用时从商店检索它们？

或者我应该尝试在Redux的商店中保存身份验证状态(JWT令牌)？与会话cookie相比,它会更好吗？会话cookie可能更安全,但每次都会涉及到商店,对吧？

最重要的是,我如何实现Redux商店拥有JWT的方法？

任何帮助将非常感激.

提前致谢.

假设我有一个本机应用程序需要发出请求的Web API.此API需要通过本机应用程序验证用户是谁在发出这些请求.OpenID Connect似乎是正确的选择,因为它是关于身份验证而不是OAuth的授权.

本机应用程序将用户凭据发送到IDP并获取访问令牌(用于授权)和id令牌(用于身份验证).根据我对OIDC的理解,访问令牌将被发送到API,但id令牌仅用于本机客户端应用程序.这对我没有意义,因为它关注的是用户是谁,而不是本机应用程序.

那么为什么id令牌也没有传递给受保护资源(又称API)？如果您没有将id令牌传递给API,那么什么保证访问令牌是安全的并且可以用于验证用户？否则,它似乎失去了使用OIDC而不是OAuth的好处.

我正在进行Idp定制。我需要让它处理通过OIDC登录的SP的“单一注销”请求。我目前具有SAML的“单一注销”功能，但是我客户端也要求OIDC。有发送单次注销请求的标准行业方法吗？典型的SP发送到Single Logout端点什么？

我有我的 UI 应用程序，它使用 AWS Cognito 进行用户身份验证。我们已成功将 SAML 身份提供程序集成到我们的 Cognito 用户池中。

现在我想使用 AD FS 支持 SSO。

以下是我可用于 ADFS 登录的 URL。

https://adfs.DOMAIN.com/adfs/ls/IdpInitiatedSignOn.aspx

我已阅读此AWS Doc以配置任何 aws 管理控制台。

但是我应该遵循哪些步骤来为 Cognito 启用此功能。

有什么帮助吗？