我在 VPC 网络中有一个 AWS Opensearch。我正在使用 Nginx 反向代理访问 Opensearch 仪表板 (Kibana)。我当前的设置运行良好。 我尝试进行 SAML Okta 身份验证,但出现以下错误: "statusCode":500,"error":"Internal Server Error","message":"Internal Error" 我正在使用 Okta 的以下配置: SSO URL:https://PROXY-URL/_plugin/kibana/_opendistro/_security/saml/acs ...
我正在使用 SAML 身份验证,我对 AuthnRequest 元素中 ID 属性的大小限制感到好奇。在我的设置中,ID 属性似乎很长。是否有我应该注意的特定大小限制? <?xml version="1.0" encoding="UTF-8"?> <saml2p:AuthnRequest xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" AssertionConsumerServiceURL="https://test.com/portal/samlsso" Destinatio...
我在 ADFS 中创建了依赖方信任。 为了测试,我登录 IDP,启动链接,选择依赖方,输入凭据,然后应用程序页面就会显示。 如何使用 SAML 跟踪器从 ADFS 端执行此验证? ...
为什么我的两个 Web 应用程序之间使用带查询参数的重定向或自动表单发布交换的数据无法被每个 Web 应用程序信任,即使使用 HTTPS? 笔记: 我理解使用查询参数进行数据交换具有固有的安全性CSRF 等风险、通过浏览器历史记录和访问日志泄露数据, 和auto-form-post 存在固有的 CSRF 安全风险。不过,这不是我们讨论的重点。我们假设我们已经缓解了 CSRF。现在的问题是,“为什么每个 Web 应用程序都不能信任交换的数据,即使使用 HTTPS?” 用例: 考虑运行在https://one.abc.com和https://two.xyz.co...
我设法为我们的 Microsoft 租户启用了联合登录,这样如果你登录到 office.com 并输入你的用户名(例如“[电子邮件保护]“),然后您将被重定向到我们的 Keycloak 实例,在那里进行身份验证,然后您将被重定向回 office.com 并成功登录。 我现在想为我们的 Windows Education 机器启用相同的功能。通过使用 Windows 配置设计器,我启用了 SharedPC 设置,还启用了 FederatedAuthentication/EnableWegSignInForPrimaryUser 和 Policies/Authe...
我们在 Entra ID(云)中创建了一个新的企业应用程序,用于连接到第三方 SaaS 解决方案。他们的部分要求是我们需要提供一个声明“teams”,其值由用户所属团队的逗号分隔列表组成。 在我们这边,在 Entra ID 中,这些团队是使用专用安全组实现的。因此,用户可以是其中一个或多个安全组的成员。我们现在需要一种方法来将此组成员身份转换为适当的 SAML 声明。 为此,我们在企业应用程序的单点登录 SAML 配置中添加了新的组声明,并使用“自定义组声明的名称”功能将该声明重命名为“团队”。因此,现在我们的 SAML 令牌包含以下声明(缩写): <...
我们使用本地 AD FS 服务器(目前在 Windows Server 2019 上),其中包含多个“依赖方”应用程序。它连接到本地 Active Directory,然后同步到获得支持 MFA 许可的 Azure AD/Entra 租户。 AD FS 中配置的大多数依赖方应用程序都有 MFA 要求,但对于其中一些应用程序,我无法让策略按我们需要的方式工作。也就是说,我们为这些 RP 制定了访问控制策略,仅当您属于某些组时才允许进行身份验证: 上图是通用策略模板,但对于实际的 RP 策略,它包含多个组,并且我们需要能够以这种方式限制访问。如果我们使用此策略...
我正在运行一个没有内置身份验证的应用程序。我希望要求使用带有 SAML 的 Google SSO 作为允许用户使用该应用程序的一种方式。我正在寻找有关如何实现这一点的任何建议。我已经使用 Google SSO/SAML 设置了其他应用程序,但它们具有内置的配置 UI。 我确实看到了这个 Server Fault 问题; 我不熟悉 Shibboleth,但它似乎是一个选择。使用自托管的 Shibboleth 应用程序作为在我的应用程序前面的 nginx 反向代理中配置的服务提供商,并设置我的 Google IdP 进行身份验证。 我不能 100% 确定我使用的...
我们在 Azure 接口中为 SAML 创建了一个声明,默认情况下,电子邮件地址在我们首次创建时包含在模板中。一切工作正常,但是一个新手搞砸了并删除了电子邮件地址声明,我们似乎无法将其添加回来。它现在在声明有效负载中丢失了,而之前它带有标签“emailAddress” - 请注意,情况略有不同)。 此声明类型为受限错误 有人能解释一下我在这里遗漏了什么明显的东西吗? ...
我一直在阅读配置 IdP/SP 关系的各种方法,并与我设置 IdP 进行身份验证的供应商反复沟通。我们交换了元数据和实体 ID 和登录 URL 等基本信息,但当我在登录页面进行测试时,它失败了,因为它无法解析我们的 IdP URL。据我了解,SP 应该向我的浏览器发送重定向到 IdP,而不需要直接访问它。 我的问题围绕着这一理解: 作为 IdP,我是否应该能够将 SSO 设置为 SP-Initiated,使用重定向或 Post 方法,而无需 IdP 可供 SP 使用? 如果确实如此,我是否应该要求供应商或 SP 在他们那边查看一些东西,以便进行重定向而不检...
我的环境中有 ADFS,它目前通过 Active Directory 进行身份验证非常顺利。我正在尝试启用证书身份验证,以便他们可以使用智能卡进行身份验证。目前,智能卡已导入他们的 AD 帐户,他们可以成功提示选择正确的证书和登录(只是不是从 ADFS)。我还检查了客户端根 CA 是否都位于受信任的根证书颁发机构证书存储区内,并且它们都存在。 在 ADFS 中,我启用了证书身份验证,入站端口为 49443(从客户端到 ADFS 服务器的入站),证书登录选择显示在 ADFS 登录页面上。当我点击证书登录时,我收到以下错误: “发生错误。请求中未找到有效的客户端...
我正在尝试在自定义应用程序和 Microsoft 365 之间实现 SSO,以便当用户在 Liferay 应用程序中点击任何指向 Teams 或 SharePoint Online 的链接时,ADFS 不会要求提供凭据。上下文: ADFS 由公司全球 IT 团队所有,并且更改其在 AAD/M365 环境的 IdP 角色是不可行的……此外,“自定义 SSO 提供程序”无法替代 ADFS,因为它没有 Windows 凭据 SSO(并非所有应用程序用户都有公司设备)。 用户首次访问“自定义应用程序”时,应该会显示两家公司已有的 IdP 选项(短信/证书分发屏幕...
我有一些客户使用 Google SALM (https://support.google.com/a/answer/6363817?hl=en) 在 Microsoft O365 上,当用户需要访问 Office 365 工具并使用公司电子邮件帐户时,Microsoft 会将身份验证屏幕重定向到 Google 以完成登录。 现在,我希望将用户的工作站加入 Azure AD,但无法在登录屏幕上对用户进行身份验证,可能是因为它是 Google SAML 租户,而 Windows 登录屏幕不会重定向我到 Google 登录,它无法识别我的密码。 请问,有哪些选项可...
我已经部署了 Apache Guacamole 服务器,并尝试使用 Cloud IdaaS 使用 SAML 配置 SSO。HAproxy 位于 Guacamole 服务器前面,提供 SSL 卸载。Apache Guacamole 是按照 Guacamole 网站上的教程配置的。 当我尝试使用 SAML 进行身份验证时,我发现自己陷入了重定向循环。Tomcat 日志中显示以下消息: 03:45:29.364 [http-nio-8080-exec-9] WARN o.a.g.a.s.a.AssertionConsumerServiceResource - A...
我们想在组织中测试一个新的 IDP(此 IDP 是内部 SAML 兼容的 IDP)。我们正在使用 AzureAD。 如果我们联合一个新域,我们可以测试身份验证,并且它可以工作([电子邮件保护])。 现在,我们想从主域中选择一些真实用户([电子邮件保护]),并仅联合这些用户,以便他们可以开始测试 idp 而不会中断所有其他用户。这可能吗?我们可以只联合一些用户在 AzureAD 中使用 IDP 吗,还是必须始终是整个域? 我们的目标是实现用户的逐步迁移,以便我们能够以最小的影响修复最终的第一个错误。 ...