通过 OKTA SAML 单点注销-6ren

通过 OKTA SAML 单点注销

转载作者：行者123 更新时间：2023-12-02 06:02:40

24

4

我收到以下 SP 的请求和 IDP 的回复:

<samlp:LogoutRequest xmlns="urn:oasis:names:tc:SAML:2.0:metadata" Destination="https://dev-nnn.oktapreview.com/app/somename_hped800eportal_1/exk8dlkd0tCutHWlj0h7/slo/saml" ID="_af6eaa4a-9d5b-41ce-b265-d39dfdc5248e" Version="2.0" IssueInstant="2016-10-14T12:31:59Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><saml:Issuer xmlns:saml="http://www.w3.org/2005/Atom">https://HPED800E:444/SynPortal/login.aspx</saml:Issuer><saml:NameID xmlns:saml="urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified">CDA_Main\hjami</saml:NameID><samlp:SessionIndex>_d9f07562-3a7f-4c03-a62d-8a985f34058f</samlp:SessionIndex><Signature xmlns="http://www.w3.org/2000/09/xmldsig#"><SignedInfo><CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" /><SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" /><Reference URI=""><Transforms><Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /></Transforms><DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" /><DigestValue>bBbMvzSjRc0zc1jtIxmqmkO4bYo=</DigestValue></Reference></SignedInfo><SignatureValue>...5g==</SignatureValue><KeyInfo><X509Data><X509Certificate>...Cw==</X509Certificate></X509Data></KeyInfo></Signature></samlp:LogoutRequest>

<?xml version="1.0" encoding="UTF-8"?><saml2p:LogoutResponse xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" Destination="https://hped800e:444/SynPortal/logout.aspx" ID="id50277036872307661186452042" InResponseTo="_1eef2809-b49e-412e-a0c5-3596e3c0b158" IssueInstant="2016-10-14T00:32:05.949Z" Version="2.0"><saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">http://www.okta.com/exk8dlkd0tCutHWlj0h7</saml2:Issuer><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:SignedInfo><ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><ds:Reference URI="#id50277036872307661186452042"><ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></ds:Transforms><ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><ds:DigestValue>3k7z8GF3kBemyYm+6+mEbZMSAYw=</ds:DigestValue></ds:Reference></ds:SignedInfo><ds:SignatureValue>...MA==</ds:SignatureValue><ds:KeyInfo><ds:X509Data><ds:X509Certificate>...VNm</ds:X509Certificate></ds:X509Data></ds:KeyInfo></ds:Signature><saml2p:Status xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"><saml2p:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:AuthnFailed"/></saml2p:Status></saml2p:LogoutResponse>

请求采用 base-64 编码，然后通过后绑定(bind)发送。我收到 AuthnFailed 响应。

为了简单起见，我只为 IDP 设置了一个 sp。有谁知道我在这里做错了什么？

最佳答案

此信息不足以确定您的单点注销实现中出了什么问题。您能否提供以下信息

1) 您在 Okta 中的单点注销设置可以在应用程序的“常规”选项卡下的“SAML 设置”->“高级设置”下找到吗？

2) 根据上述设置，请确保您已将证书上传到 Okta？

3) 您使用的是哪个 SAML 工具包？您能为您的工具包提供工具包设置吗？

请参阅下面的工作 SLO 请求。

<samlp:LogoutRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_d2be8c5de3aeeeac27c8xxxxyyyy"
Version="2.0"
IssueInstant="2016-04-27T16:15:06Z"
Destination="https://org-name.okta.com/app/simplesamlphpexample/exk4xxyyPcvdVq70x7/slo/saml"
>
<saml:Issuer>http://localhost:8888/simplesamlphp/www/module.php/saml/sp/metadata.php/example-okta-com</saml:Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:SignedInfo>
        <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
        <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <ds:Reference URI="#_d1be8c5dc2aeeeac27c8daf04b7xxxyyy6b36287bd6">
            <ds:Transforms>
                <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
                <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
            </ds:Transforms>
            <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
            <ds:DigestValue>{{some_value}}</ds:DigestValue>
        </ds:Reference>
    </ds:SignedInfo>
    <ds:SignatureValue>{{some_value}}</ds:SignatureValue>
    <ds:KeyInfo>
        <ds:X509Data>
            <ds:X509Certificate>{{some_value}}</ds:X509Certificate>
        </ds:X509Data>
    </ds:KeyInfo>
</ds:Signature>
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">{{email}}</saml:NameID>
<samlp:SessionIndex>{{some_value}}</samlp:SessionIndex>

比较您的请求和我的请求的 SLO 设置，有一些值得注意的事情。

1) CanonicalizationMethod 算法在我的例子中设置为 http://www.w3.org/2001/10/xml-exc-c14n# 。你的是http://www.w3.org/TR/2001/REC-xml-c14n-20010315 .

2) 您的情况下的名称 ID 是“CDA_Main\hjami”。您能告诉我这是 Okta 中的哪个属性吗？另外，您是否使用从 Okta 到应用程序的映射(在配置文件编辑器 -> 您的应用程序映射下)覆盖应用程序的用户名。例如，我将 Okta 登录/电子邮件中的应用程序用户名重写为自定义属性。

如果您使用 Okta 中的另一个属性(其值设置为 CDA_Main\hjami)作为应用程序的用户名，请确保您像我在上面的屏幕截图中所做的那样覆盖它。

关于通过 OKTA SAML 单点注销，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/40033237/

24

4

0

文章推荐： macos - 读取 Magic Mouse 和 Apple 无线键盘的电池百分比

文章推荐： PHP:URL 友好字符串

文章推荐： macos - Mac 上的 CMake GUI

saml - 为什么 SAML 服务提供商应该信任 SAML 响应？
阅读自 http://en.wikipedia.org/wiki/SAML_2.0 ，我试图了解保证在流程的第 5 步中发送的 SAMLResponse 的真实性的机制。根据我的理解，SAML 的设
saml - SAML 身份验证请求中是否允许使用属性？
是否可以在 SAML 身份验证请求中发送属性？ https://sp.example.com/SAML2 最佳答案从技术上讲，是的，这是可能的，因为 AuthnRequest 可
saml - SAML 如何真正提供安全性？
在阅读了一些文章和引用资料后，我发现它们实际上说明了什么是 SAML，它包含哪些组件，它是如何工作的。一些不错的链接如下: Good documentation about Shibboleth an
saml - SAML 工件的用途是什么？
我看过一堆关于如何通过重定向在身份提供商 (IdP)、服务提供商 (SP) 和浏览器之间传递的流程图。然而，现在对我来说似乎没有必要，所以我知道我错过了一些东西。有人可以向我提供一个使用案例，其中与
spring-saml - 使用 Spring Security SAML 将请求参数添加到 SAML 请求
我需要在 SAML 请求中添加一个请求参数(例如 locale=en)，以便让登录页面显示正确的语言。我怎么做？我试图将属性添加到作为参数发送到开始方法 (SamlEntryPoint) 的 Htt
saml-2.0 - Spring SAML : Incoming SAML message is invalid
我在将我的应用程序与 SAML 集成时遇到问题。以下是我的错误: org.springframework.security.saml.SAMLProcessingFilter.attemptAuth
saml - 如何验证 SAML 证书？
我是 SAML 的新手，对预期的签名和信任过程感到困惑。我正在编写一个 SP 并从 IDP 接收到一个签名的 samlp:Response，其中包括 KeyInfo:
saml - ADFS SAML 请求未使用预期的签名算法签名
ADFS 具有看似错误的意外行为。我有使用 SHA1 哈希算法进行数字签名的 SP。在此 SP 的 ADFS 上，我在高级选项卡上设置为使用 SHA256。对我来说，这些不相关是正常的，每一方选
saml - 如何在 SAML 登录响应断言中包含用户组属性
我正在使用 SAML 登录我的应用程序，我想在登录响应断言的属性中包含用户组。我想知道登录请求是否应指定该属性是必需的，或者这是一般需要在 IDP 上完成的配置，还是在专门为我的服务提供商的 IDP
saml - 寻找有关第一个 SAML 实现的反馈
我的任务是设计一个非常简单的 SSO(单点登录)流程。我的雇主已指定它应该在 SAML 中实现。我想在确认 SAML 规范的同时创建尽可能简单的消息。如果你们中的一些人能查看我的请求和响应消息，并告
saml - 如何调试 SAML 响应上的无效签名
我们正在使用ruby-saml将我们的应用程序建立为服务提供商，同时使用 Google 作为身份提供商，尽管我不认为这个问题特定于 Ruby 或该项目。我见过this answer from the
saml - 如何调试 SAML 响应上的无效签名
我们正在使用ruby-saml将我们的应用程序建立为服务提供商，同时使用 Google 作为身份提供商，尽管我不认为这个问题特定于 Ruby 或该项目。我见过this answer from the
saml - SAML token 的有效期应为多长时间
有人建议 SAML token 应该有效多长时间(在 SOA 基础架构中)？我想到了几个 (6-12) 小时。非常感谢马库斯最佳答案让您的 token 拥有如此长的生命周期通常不是一个好主意，因
saml - 在哪里获得 SAML 证书
我对 SAML 证书的这个概念很陌生。我目前正在为网站配置 SSO，需要知道如何生成 SAML 证书？我为本网站使用的设置不是通过 Azure，而是直接来自供应商网站，他们正在请求我的 SAML 证
saml - 什么是 SAML 配置文件和绑定(bind)？
我是 SAML 的新手。您能否用简单的英语解释一下什么是 SAML 配置文件和绑定(bind)，并提供几个示例。最佳答案 nrathus 在他的评论中指出，维基百科的 entry on SAML是一
saml - Keycloak 使用 SAML 注销
我在 Keycloak Server 4.2.1 中使用 saml 协议(protocol)注销时遇到问题。在 Keycloak 旁边有一个 Wildfly 9 服务器。在 Wildfly 服务器中部
saml - SAML 2.0 中的接收者与受众
有人能解释一下和有什么区别吗？收件人和观众在 SAML 2.0 中？我在这里从 OneLogin 中找到了非常模糊的解释: https://support.onelogin.com/hc/en
saml - Keycloak 客户端设置，SAML 私钥暴露
我知道在 SAML 协议(protocol)中，IDP 和 SP 他们拥有自己的 key 对，并且不会将他们的私钥暴露给对方。我假设下面的领域 key 是 IDP key 对，这是有道理的，因为私钥
saml - SAML token 是否缓存/存储在浏览器的任何位置？
场景: 浏览器(用户)向服务提供商 (SP) 请求资源。 SP 重定向(通过 SAML 请求)到身份提供商 (IdP)。由于是首次登录，用户会向 (IdP) 提供他/她的有效凭据。然后，IdP 将
saml - JWT 和 SAML 的区别？
JWT(Json Web Token)和 SAML 的主要区别是什么？请向我推荐任何带有 Spring 安全性的示例。提前致谢。最佳答案两个SAML和 JWT是不依赖于任何编程语言的安全 toke

首页

博学

6Ren·AI

商城

通过 OKTA SAML 单点注销