java - 使用 Keycloak 作为身份代理和 Okta 作为身份提供者的 Saml 设置不起作用-6ren

java - 使用 Keycloak 作为身份代理和 Okta 作为身份提供者的 Saml 设置不起作用

转载作者：行者123 更新时间：2023-12-01 18:28:18

26

4

我在我的应用程序中使用 keycloak(版本 8.0.1)作为身份代理。我已经按照本博客 https://ultimatesecurity.pro/post/okta-saml/ 中的指定设置了 keycloak/okta 之间的 saml 集成。

我还有一个示例应用程序，用于测试此集成，该应用程序来自此博客 https://scalac.io/user-authentication-keycloak-1

当 okta 重定向回 keycloak 时，我遇到了问题。来自 okta 的响应成功，但是在收到响应时，keycloak 会查看 KC_RESTART cookie 并尝试在 JWT 中查找在该 cookie 中编码的 child ，但找不到匹配项并引发以下异常，

19:26:00,581 DEBUG [org.keycloak.jose.jws.DefaultTokenManager] (default task-1) Failed to decode token: org.keycloak.common.VerificationException: Key not found
    at org.keycloak.crypto.ServerMacSignatureVerifierContext.getKey(ServerMacSignatureVerifierContext.java:31)
    at org.keycloak.crypto.ServerMacSignatureVerifierContext.<init>(ServerMacSignatureVerifierContext.java:25)
    at org.keycloak.crypto.MacSecretSignatureProvider.verifier(MacSecretSignatureProvider.java:39)
    at org.keycloak.jose.jws.DefaultTokenManager.decode(DefaultTokenManager.java:94)
    at org.keycloak.protocol.RestartLoginCookie.restartSession(RestartLoginCookie.java:146)
    at org.keycloak.services.resources.SessionCodeChecks.restartAuthenticationSessionFromCookie(SessionCodeChecks.java:376)
    at org.keycloak.services.resources.SessionCodeChecks.initialVerifyAuthSession(SessionCodeChecks.java:197)
    at org.keycloak.services.resources.SessionCodeChecks.initialVerify(SessionCodeChecks.java:204)
    at org.keycloak.services.resources.IdentityBrokerService.parseSessionCode(IdentityBrokerService.java:1027)
    at org.keycloak.services.resources.IdentityBrokerService.parseEncodedSessionCode(IdentityBrokerService.java:1016)
    at org.keycloak.services.resources.IdentityBrokerService.authenticated(IdentityBrokerService.java:501)
    at org.keycloak.broker.saml.SAMLEndpoint$Binding.handleLoginResponse(SAMLEndpoint.java:485)
    at org.keycloak.broker.saml.SAMLEndpoint$Binding.handleSamlResponse(SAMLEndpoint.java:524)

我还在 keycloak 上启用了 TRACE 日志记录，并且我看到日志中打印了以下错误消息，

异常之前，

19:32:19,019 TRACE [org.keycloak.keys.DefaultKeyManager] (default task-1) Failed to find public key: realm=MyDemo kid=5a148511-021f-477d-a716-2f0f2d425d12 algorithm=HS256 use=SIG

异常后

19:32:19,021 TRACE [org.keycloak.events] (default task-1) type=IDENTITY_PROVIDER_LOGIN_ERROR, realmId=MyDemo, clientId=null, userId=null, ipAddress=127.0.0.1, error=invalid_code, requestUri=http://localhost:8080/auth/realms/MyDemo/broker/samlokta/endpoint, cookies=[io=URgKM5wjPjr8WQdlAAAA, JSESSIONID=57782504027A376E7FD18A7F061B7225, KC_RESTART=eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICI1YTE0ODUxMS0wMjFmLTQ3N2QtYTcxNi0yZjBmMmQ0MjVkMTIifQ.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.Y0zN-c33soimR_JhvTex-nRKL0rZKquOhRtfdofrF-A, AUTH_SESSION_ID=e549d547-0bd0-413e-986c-361bb35ead4c.moizs-mbp, OAuth_Token_Request_State=6d9150e4-fb5f-45c9-bda5-3a042d964e4c]

查看 DefaultKeyManager.java 中的代码，似乎在 KeyProvider 中找不到 KC_RESTART cookie 中的 child 。

我需要帮助找出原因，我不确定我错过了哪一步。任何帮助将不胜感激。

        for (KeyProvider p : getProviders(realm)) {
            for (KeyWrapper key : p.getKeys()) {
                if (key.getKid().equals(kid) && key.getStatus().isEnabled() && matches(key, use, algorithm)) {
                    if (logger.isTraceEnabled()) {
                        logger.tracev("Found key: realm={0} kid={1} algorithm={2} use={3}", realm.getName(), key.getKid(), algorithm, use.name());
                    }

                    return key;
                }
            }
        }

最佳答案

事实证明这是一个配置问题。所以，基本上我在 localhost 上运行 keycloak 进行测试。所以我在 localhost 上启动了它并在 keycloak 上配置了 IDP。配置 IDP 后，我导出元数据并将其导入到 Okta 中。此时，受众 URI 和响应 URI 等已导入，并以 localhost 作为主机名。经过一番摆弄后，我将两个 URI 更改为使用 127.0.0.1 作为主机名而不是 localhost，这解决了问题。

当我尝试与 PingId 集成时，我发现这可能是一个问题。 PingId 拒绝了 AuthenticationRequest，因为从 URI 派生的实体 ID 不匹配。我不太确定 keycloak 的问题是什么，但我想为其他可能遇到类似问题的人发布这个答案。

关于java - 使用 Keycloak 作为身份代理和 Okta 作为身份提供者的 Saml 设置不起作用，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/60200319/

26

4

0

文章推荐： java - 如何确定我的树方法需要哪些参数？

文章推荐： c# - 来自 Flags 枚举的随机值

文章推荐： WiX v3.11 刻录 Bootstrap 安装因防病毒扫描而失败？

keycloak - Keycloak 需要数据库吗
我已将 Keycloak 设置为 SAML 代理，身份验证由当局提供的外部 IdP 完成。使用此 IdP 登录的用户都被接受，我们需要从 Keycloak 获得一个 OAuth token 来访问我们
keycloak - 将领域角色分配给服务帐户 keycloak
我在 master 有一个服务帐号领域。来自 admin-cli我要分配服务帐号master-realm-client管理员角色。我怎样才能做到这一点。 kcadm.sh add-roles -r m
keycloak - KeyCloak 中多个客户端的唯一登录
在 Keycloak 中，是否可以对同一领域中的所有客户端仅进行一次登录？我已经以这种方式配置了服务器(从管理控制台): - 创建一个新领域(我们称之为 MyRealm)； - 创建两个不同的客户端(
keycloak - keycloak 中的默认自定义领域
我们的团队正在开发一个集成到 Keycloak 中的项目。我们创建了一个自定义领域，例如 ProjectX ，并使其上的自定义主题能够应用于 Keycloak 的登录页面。由于我们的主题应用于领域
keycloak - Keycloak 角色是如何管理的？
Keycloak 是一个很棒的工具，但它缺乏适当的文档。所以我们有 Realm.roles、Client.roles 和 User.roles 使用特定客户端访问应用程序时，这 3 者如何协同工作？
keycloak - keycloak 中的默认自定义领域
我们的团队正在开发一个集成到 Keycloak 中的项目。我们创建了一个自定义领域，例如 ProjectX ，并使其上的自定义主题能够应用于 Keycloak 的登录页面。由于我们的主题应用于领域
keycloak - Keycloak 中所有用户的自定义用户属性
有没有办法让所有用户在 keycloak 中创建自定义用户属性(如电话号码)？最佳答案您可以创建一个组并向其添加一个属性。然后将该组设置为默认组。这样，所有用户都可以使用设置为组的属性关于ke
keycloak - 如何解决我的 angular7 项目中的 keycloak refresh/#state - 我正在使用 keycloak-angular
我还尝试了 Web 来源和有效重定向 URI 的所有不同组合我通过 keycloak 登录，它不断地在我的本地主机应用程序和这个 url 之间来回重定向我:http://localhost:4200
keycloak - 如何使用 Keycloak Deployer (/deploy) 部署 keycloak 的 SPI 项目？
在 Keycloak's documentation ，据说为了部署提供程序，我可以 copy your provider jar to the Keycloak deploy/ directory,
keycloak - 有没有办法使用 Keycloak Admin REST API 将用户添加到 Keycloak 中的多个组(批量)？
目前，我使用此端点一次将用户添加到一个组: PUT /{realm}/users/{id}/groups/{groupId} 在我的用例中，批量执行影响是有益的，到目前为止我还没有找到这样做的记录方式
keycloak - 有没有办法使用 Keycloak Admin REST API 将用户添加到 Keycloak 中的多个组(批量)？
目前，我使用此端点一次将用户添加到一个组: PUT /{realm}/users/{id}/groups/{groupId} 在我的用例中，批量执行影响是有益的，到目前为止我还没有找到这样做的记录方式
java - Keycloak - docker jboss/keycloak-mysql "Table ' keycloak.WEB_ORIGINS'不存在”
我一直在尝试在 docker-compose 文件中使用 jboss/keycloak-mysql 来建立 Keycloak 服务器和 mysql 数据库。我在本地部署期间遇到一个问题，告诉我 WEB
java - Keycloak with Tomcat : org. keycloak.KeycloakPrincipal 无法转换为 org.keycloak.KeycloakPrincipal
我正在使用 Tomcat 适配器运行 Keycloak。但是，当我尝试获取 KeycloakPrincipal 时，它出错了； java.lang.ClassCastException: org.ke
Keycloak 电子邮件验证不起作用并通过 keycloak 接收任何电子邮件
我正在使用 keycloak 4.5.0 v 并创建了一个领域。我已经设置了登录以启用忘记用户名和验证电子邮件。在我输入的电子邮件选项卡中 host - smtp.gmail.com smtp po
keycloak - 允许客户端从 keycloak 中检索用户
我想让我的客户端应用程序从 keycloak 访问用户信息。因此，我在 keycloak 中创建了另一个领域 (myrealm1)，并在该领域内创建了一个新客户端 (myclient1)。 key 斗
keycloak - 从 keycloak 面板中删除了客户端授权选项卡？
正如我在此链接中看到的 https://www.keycloak.org/docs/latest/authorization_services/#_overview ,客户端中应该有一个授权选项卡，如
keycloak - 这些 Keycloak 端点有什么用？
这些 keycloak 端点有什么用？ issuer: "http://localhost:8180/auth/realms/dev", authorization_endpoint: "http:/
keycloak - 有没有人为 Keycloak 做过导入功能？
我们需要将数百个用户从 csv 文件导入 Keycloak。我还没有找到任何现成的导入功能来做到这一点。有没有人做过任何导入程序或至少有一些框架来构建？ REST API 可能是唯一的方法 - 或者
keycloak - 是否可以在 Keycloak 中使用自定义身份验证逻辑？
我已经使用 LDAP 用户联盟配置了 Keycloak。当用户想要登录应用程序时，他会被重定向到 Keycloak 登录页面，输入 uid/pwd 并使用 LDAP 绑定(bind)进行身份验证。这
keycloak - Keycloak 是否支持 SCIM？
有没有人在 Keycloak 中使用过 SCIM？如果是这样，你能指出我的文档吗？我用谷歌搜索过，它似乎不是受支持的配置。最佳答案不幸的是，Keycloak 尚不支持 SCIM。他们的 Jira

首页

博学

6Ren·AI

商城

java - 使用 Keycloak 作为身份代理和 Okta 作为身份提供者的 Saml 设置不起作用