Active directory 键斗篷AD FS交互
我在KeyClope中创建了一个SAML身份提供程序。单一登录url如FederationMetadata.xml中所述 如果我现在使用KeyClope用户登录,我会看到一个链接,在那里我会被重定向到单点登录页面,但在那之后我会得到一个错误,因为我没有指定任何查询参数,如Active directory 键斗篷AD FS交互,active-directory,saml,keycloak,adfs,Active Directory,Saml,Keycloak,Adfs,我在KeyClope中创建了一个SAML身份提供程序。单一登录url如FederationMetadata.xml中所述 如果我现在使用KeyClope用户登录,我会看到一个链接,在那里我会被重定向到单点登录页面,但在那之后我会得到一个错误,因为我没有指定任何查询参数,如wa=signin1.0或whr=https:\\foo\adfs\services\trust或wtrealm=https:\\sso.foo.bar 如果我将此参数正确地包含到signle signon url中,我可以登录
wa=signin1.0
或whr=https:\\foo\adfs\services\trust
或wtrealm=https:\\sso.foo.bar
如果我将此参数正确地包含到signle signon url中,我可以登录,但Key斗篷无法识别发生了什么
在我看来,配置为单点登录URL的URL没有任何作用,而我在KeyClope中配置的身份提供程序是无用的
有谁能帮我提些建议,让我更好地理解AD FS和Key斗篷之间的相互作用以及它们是如何协同工作的?我最近参与了一个项目,我们将Key斗篷设置为ADFS IdP的SP 只有在设置以下设置时,我们才能正确处理SAML请求:
IdP URL:
${IdP_URL}/adfs/ls/
NameID策略格式:persistent
WantAuthnRequestsSigned:true
WANTASERTIONSSigned:true
签名算法:RSA\u SHA256
SAMLSignatureKeyName:证书主题
除了在keydove(作为SP)中更新NameID策略外,我们还必须在IdP端进行自定义设置,以确保NameID以格式
持久性的形式发送回来,我怀疑keydove是否支持WS-Fed(SAML 1.0),您显然是通过添加wa=…
来尝试的。我相信keydepot支持SAML2,它在ADFS端由同一个端点(/ADFS/ls
)处理,但请求符合SAML2规范。现在,ADFS通过两个绑定支持SAML2,即POST绑定和重定向绑定。我猜Key斗篷遵循后期绑定,但您只是没有将ADF配置为允许此特定绑定。可以肯定的是,您必须编辑您的问题,以包含有关如何将Key斗篷配置为ADFS中的SAML2依赖方的更多详细信息。存在一个插件,但尚未准备好生产,因此请输入thx!