我目前正在实现单点登录，以便桌面应用程序的用户可以登录到与该应用程序相关的网站，而无需重新输入帐户凭据 我查看了下面的链接，并实现了与“公认的解决方案”非常相似的功能 然而，该实现目前确实依赖于“共享密钥”，即两个程序之间共享的访问密钥 我喜欢安德烈亚斯·彼得森（Andreas Petersson）的方法，他将密码加密，然后将其与令牌结合起来以提高安全性，但桌面应用程序无法访问密码。对于桌面应用程序，我的代码是作为DLL实现的，它是自动加载的，只能通过API访问应用程序数据，而不能直接与数据库通

我正在尝试使用OpenAm作为IDP和应用程序本身作为服务提供者为我的应用程序配置SSO 以下是IDP和服务提供商的元数据： <EntityDescriptor entityID="http://www.cpfdomain.com:8091/openam_10.0.1" xmlns="urn:oasis:names:tc:SAML:2.0:metadata"> <IDPSSODescriptor WantAuthnRequestsSigned="false" protoco

我在我的web应用程序中有一个RESTAPI，从中可以获得另一个web应用程序生成的cas票证 该webapp实习生使用cas20proxyticketvalidator验证票证。因此，我还在自定义过滤器中使用Cas20ProxyTicketValidator来验证票据 但它总是给我以下错误： ticket = ST-148008-jWXKeEdHkxmuktvYqXF6-cas org.jasig.cas.client.validation.TicketValidationException:

我正在尝试为两个网站实现SSO，目前正在研究SAML和OpenID Connect。但我需要使用相同的凭据对基于Swing的桌面客户端进行身份验证 我已经读过OpenID Connect的隐式流，但它似乎仍然需要打开一个浏览器 SAML增强的客户端或代理配置文件似乎解决了这类问题，但我尝试过的大多数IDP似乎都没有实现。（只有Shibboleth支持它，Shibboleth的文档也不太好） 什么样的解决方案可以解决这个问题 是否有其他支持本机和web的SSO机制 应用程序 OpenID Con

对于这个话题，我有些困惑，需要一些指导 我理解，为了支持客户端证书，“CertificateAuthentication” 需要在身份验证策略上启用身份验证提供程序（在intranet或extranet中） 在我找到的示例中，我看到在FBA之后指定了证书身份验证。如果将证书身份验证指定为第一个，将FBA指定为第二个，会发生什么情况？如果用户没有证书（是否显示指向FBA的链接？），则回退到FBA是否有效 透明SSO（无用户交互）是否可以通过客户端证书实现（例如，如果只有一个证书可用），或者透明SS

在openbravo wiki中提到SSO是openbravo的模块之一，但发现它是一个归档文档。它在openbravo中仍然可用吗？如果可用，我如何实现它？我尝试使用“”此链接实现它，问题是我的openbravo没有重定向到CAS服务器，但我的lam服务器正在重定向到CAS服务器，我可以登录到CAS服务器，但我需要单独登录到openbravo应用程序 请帮助我修复它。请参考下面提到的openbravo wiki以获取身份验证 非常感谢您的回复，我现在可以重定向到CAS服务器，甚至可以成功登录，

我是SAML的初学者，正在做第一次单点登录。 我在不同的领域有多个应用程序，所有应用程序都是用不同的技术构建的 我想使用SAML实现单点登录。我不想使用任何第三方。 如果有些人有任何解决方案或示例项目，请分享 提前谢谢 我建议你看看 这里有PHP、Python、Java和Ruby应用程序的示例 p.S SAML很复杂，不要试图自己实现它…我建议您看看 这里有PHP、Python、Java和Ruby应用程序的示例 p.S SAML很复杂，不要试图自己实现它…这个问题非常广泛。您有什么身份管理后端（

第一个帖子在这里。在Windows 10上，每当安装Microsoft Online Services登录助手（SIA）时，Oracle身份访问管理（IAM）Windows本机身份验证（WNA）协议回退到基于表单的登录页时总是失败。每当我们删除SIA时，WNA回退到基于表单的登录页面总是成功的。该误差在100%的时间内是可再现的。我们尚未在Windows 8或Windows 7上进行测试。我已经研究过了，但是关于新航的报道并不多；它看起来在客户端上不可配置。确实希望避免更改IAM WNA端的代码

我有一个支持SAML的web应用程序，我们的许多客户使用G Suite作为身份提供商。我们一直在与他们中的每一位合作，建立一个自定义SAML应用程序，以便他们可以使用G Suite在我们的应用程序上进行SSO，但我们确实希望被列为预集成应用程序，如所述和所述 经过数小时的独立搜索和与G套件支持人员的聊天，我一直找不到任何形式的申请表来列出我的应用程序。对于国内流离失所者来说，这个过程非常简单，比如。。。我一辈子都不知道如何为G套房做这件事。任何指导都将不胜感激。在经过3个不同的G套件支持代表之后

我已经设置了一个keydrope（我们称之为Main）作为另一个keydrope安装（我们称之为Secondary）的IDP。如果用户已登录到Main，则如果他们访问受Secondary保护的资源，则可以单击IDP登录按钮，并自动验证其用户。通过将主IDP设置为默认IDP，我可以取消单击IDP登录按钮的步骤 我遇到的问题是如何通过编程实现这一点。我有一个用户将使用主凭据登录的应用程序。我希望应用程序能够调用辅助userinfo端点，并对受辅助keydrope保护的端点进行API调用。应用程序可以

我在实现Ping Federate时遇到了这个问题 Error - Single Sign-On Single sign-on authentication was unsuccessful (reference # TAELHKAD). Please contact your system administrator for assistance regarding this error. Partner: localhost:default:entityId Target Resource:

我对Windows server有点陌生，但一直在查看Microsoft Azure和IaaS 只是一个关于Azure Active Directory同步的问题 我正在将我的基础设施迁移到Azure中，我的基地是一个广告服务器、“dirsync”或广告FS服务器和一些web服务器等。我们使用谷歌应用程序处理电子邮件、日历和驱动器 所以我发现有两种方法可以使我的广告目录和Azure目录保持同步。SSO和Azure Active Directory同步 如果我使用Azure Active Dire

编辑 所以，我想我就快到了。唯一仍然缺少的是Shibboleth IdP返回一个加密的临时名称ID，我需要它返回用户名，未加密。如果有人能让我通过最后一个拦截器，我会记下答案 （编辑结束） 我一直在尝试设置Shibboleth 3 IdP（我们的应用程序支持SAML，我们需要一个测试环境） 我的目标是一个查询LDAP目录以提供身份验证的简单环境 我设置了Shibboleth IdP 3，它似乎可以正确地查询AD，但我很难让它返回我请求的属性（uid、名字、姓氏、电子邮件） 我很确定我的问题出在a

我一直在尝试通过单点登录使用putty将登录集成到Suse Linux服务器的控制台。 为此，我遇到了两种情况： 允许SSO中的GSSAPI凭证委派；及 在Linux中启用GSSAPIaunthentiation 我还遗漏了什么吗？这对超级用户来说不是更有意义吗？嗨，JoSSte，事实上，我们正在设计一种方法，允许windows AD的DL成员授予管理员访问权限，而不需要他们提供登录deatail。我指的是stackexchange站点超级用户。SSO具有完美的意义Hi JoSSte/Team，

我的桌面应用程序正在尝试连接到使用SiteMinder SSO保护的web应用程序。 每次桌面应用程序尝试访问web应用程序时，SiteMinder都会将其丢弃 HTTP标头请求中是否有任何特定参数要传递给使用SiteMinder保护的web应用程序。您需要确保在用户成功验证后SM返回给您的应用程序（HTTP客户端）的SMSESSION cookie包含在您的应用程序发出的每个请求中

我有一个使用CAS保护的（WordPress）网站。单点登录对于大多数页面来说都是不错的，但也有一些页面包含敏感信息，需要更高的安全性。对于这些页面，我想要求用户重新输入他们的密码。这在CAS中是可能的吗 （我确实想知道是否可以让这些页面作为使用“续订”参数的独立应用程序运行，但这似乎并不简单。）这取决于WP如何与CAS集成。如果它能够为某些参数提交renew=true，那么可以。这可能是WP插件的一个限制 这取决于WP如何与CAS集成。如果它能够为某些参数提交renew=true，那么可以。这

我想通过呼叫检查电子邮件地址是否已在auth0用户存储中注册： GET: https://myDomain.auth0.com/api/v2/users-by-email?email=example@example.com 以及通过以下方式创建的访问令牌传递授权头承载： POST : https://myDomain.auth0.com/oauth/token 与以下机构合作： {"client_id":"xyzyAH0BU8dLdxxxx4NNpq37iO","client_secret"

我在运行kinit命令时遇到错误6，kerberos数据库中找不到客户端错误 你能帮我解释一下这个错误的可能性吗 我们正在使用SPNEGO在应用程序上实现SSO 提前谢谢你 需要更多的细节。Kerberos需要适当的SPN和适当的DNS配置才能工作。共享您的/etc/krb5.conf文件并共享您的keytab创建语法，问题可能会出现在这两个地方中的一个或两个。通过编辑您的问题而不是在评论中分享这两个问题。首先：KDC中的主体全名是什么？您输入给kinit的主要名称是什么？您在/etc/krb5

我正在研究IdM的开源解决方案 到目前为止，我的选择是OpenIDM、OpenAM、Josso和CAS 但大多数解决方案都将重点放在SSO上，然而我的需求更多的是用户管理和资源调配。Josso/CAS/OpenIDM能否提供用户配置/取消配置、组策略等？您提到的开源解决方案主要关注SSO，而不是身份管理，是否有Atlassian Crowd的开源替代方案，在每项功能上都匹配。JOSSO有一个用户配置功能，但AFAIK不包括组策略。如果您正在寻找一个完整的身份管理解决方案，那么您需要了解诸如Ora

我不熟悉CAS和SSO。 目前，我们有一个应用程序，比如说App1，带有CAS实现，用于登录。根据新的要求，已经登录到另一个应用程序（如App2）的用户应该能够通过链接通过App2访问App1，而不必进行登录。CAS允许这种集成吗 用户--------->ExternalApp2--------->CAS=App1 非常感谢你的帮助 我们正在使用CAS 3.4。是。这就是SSO的意思。只要登录一次，就可以随时随地登录。是的。这就是SSO的意思。您只需登录一次，就可以随时随地登录。嗨，米萨，谢谢您

在我在美国南部的试用帐户中，我创建了一个单一登录服务，并将其绑定到一个应用程序，现在我正试图返回到该应用程序中，我得到了这个页面- 禁止的 您请求的资源由Access Manager WebSEAL保护 解释 出现此消息可能有两个原因： You are not logged in to this secure domain. You are logged in to this secure domain, but do not have the correct permissions to ac

我正在使用Windows Server 2012和SAML 2.0中的ADFS为MVC应用程序实现SSO。我开始犯这个错误，我找不到解决的办法。我做错了什么 The Federation Service could not authorize token issuance for caller 'xxx\xxxx '. The caller is not authorized to request a token for the relying party 'https://example.co

这是我第一次用钥匙斗篷。我有一个运行在localhost:4200上的angular应用程序。我已经更改了代码，因此当我单击“登录”时，它会重定向到KeyClope，但当我登录到KeyClope时，它不会重定向回应用程序(http://localhost:4200/recipient/badges). 下面是我的KeyClope客户端配置的屏幕截图，因为我不确定是否正确填写了它 下面显示了我的代码，用户单击“登录”按钮后，我在第5行的href=下输入了重定向到KeyClope登录的代码。我不确

我是Identity Server 3的新手，正在实施密码重置功能。下面是我试过的 public class AppUserService : UserServiceBase { public override Task AuthenticateLocalAsync(LocalAuthenticationContext context) { try { if (context == null) ret

我正在使用asp.net/mvc开发一个门户风格的应用程序，它将链接到其他应用程序。我正在考虑使用ADFS和支持广告进行身份验证。我想为门户和这些单独的应用程序启用单点登录。这些单独的应用程序（有些是Java，有些是ruby）将信任ADF，并可以接收SAML令牌进行身份验证 用户必须登录到此门户应用程序，由于用户已经登录到门户，因此到门户中其他应用程序的链接将无缝工作。本质上，我的门户是身份提供者。使用ADF是否可能出现这种情况？是的，这是可能的。但是，您问题中的术语并不完全正确：您的门户应用程

我正在尝试在worklight server中实现serverSessionTimeout。我在worklight.properties中启用了serverSessionTimeout=5和sso.cleanup.taskFrequencyInSeconds=5，但运气不好。对于每个用户登录，我们都有用户数据库条目。理想情况下，它应该在会话达到5分钟后删除用户db条目，但我无法从服务器端清除用户db条目。如果有人能在这方面帮助我，我将不胜感激。正如Iddo在评论中提到的： sso.cleanup

我希望有人能给我指出正确的方向。 我在IIS上安装了Identity server 3，并将两个不同的MVC客户端连接到此Identity server。 我对单点注销有点困惑。我希望实现单点注销。 但是，当我登录时，每个客户端网站都会设置自己的aspNet会话cookie。 当我从一个客户端注销时，另一个客户端仍然保留其会话（因为它自己的会话cookie）。 如何为具有不同域的多个应用程序实现单次注销。单次注销的OpenID Connect规范尚未发布/完成。这项工作仍在进行中： Identi

我们正在构建一个前端应用程序，它使用Azure AD APP与Office 365进行单点登录 要使用OAuth身份验证过程获取访问令牌，我们需要传递资源URI，该URI可以是 xyz.sharepoint.com-与sharepoint网站集集成 xyz-my.sharepoint.com-与OneDrive for business集成 outlook.office.com-与outlook graph.windows.net集成- graph.windows.net-使用graph API

如果我与身份提供商和使用SAML的谷歌应用程序建立信任，我可以将SSO导入谷歌应用程序。如果我有一个与谷歌应用程序的会话，那么我可以导航到一个支持谷歌登录的网站（有一个使用谷歌按钮登录的网站，如下面屏幕截图中的按钮），是否有方法引导身份验证通过SSO流。我仍然需要单击“使用谷歌登录”按钮，但由于我有一个与谷歌应用程序的会话，它会通过SSO流让我登录到该应用程序 如果我没有登录谷歌应用，我不仅要点击按钮，还要输入我的电子邮件地址。这将启动SSO，因为电子邮件地址（域）是联合的，但步骤太多 对于像

我正在努力跟随文章 域名学校.edu 当我打开一个私人浏览窗口，进入login.microsoftonline.com并在我的域中指定一个用户时，我会被重定向到Google以获取登录和密码。但是，在输入有效凭据后，我被重定向到Microsoft登录页面，并出现错误 我犯了一个错误 其他技术信息： 相关ID:[已编辑，不确定这是否为敏感ID] 时间戳：2017-05-1119:15:31Z AADSTS50107:请求的联合域对象“[id]”不存在 此处列出的URL在直接访问时返回404，但[i

我使用了一个Discussion Docker图像来运行Discussion，并使用了以下插件，以便用户可以通过使用IdentityServer 4的web应用程序注册/登录我们的论坛 如果我不需要客户机密，我可以让它工作，但当我将它设置为需要客户机密时，授权失败 [插件设置][1] 我在插件中添加了客户机密码，正如您可以在图像中看到的那样，然后将明文密码添加到数据库中的相关单元格中 我假设它在不需要密码的情况下工作，但在我需要密码时失败，这是因为话语插件将以某种方式处理密码，如sha256等，

是否有任何基于SAML的简单SSO（单点登录）解决方案或服务（web） 我只是想简单地体验一下SSO作为软件或web服务的功能 我尝试使用SSOCIRCE，但不知道注册服务提供商 请帮帮我。如果你搜索的话，外面有很多。看看这些 其他一些： 免责声明：我为Auth0工作我可以获得关于如何使用这两个网站的更多信息吗？例如，当我在www.onelogin.com上添加应用程序（如google mail）时，我想知道插入的信息，如消费者URL感谢您的回答！我能问你更多关于SAML的事吗？我

我正在尝试使用JOSSO实现单点登录。 我的用户凭据存储在用户表中，密码列的数据类型为varbinary。现在我可以在不改变用户表的情况下实现JOSSO了吗？这与jsf有什么关系？对不起。这与JSF无关

我们没能找到任何“即插即用”的解决方案来解决这个假设是普遍存在的问题。那么正确的方法是什么呢？假设论坛位于子域上：将唯一的身份验证令牌从主站点传递到论坛，以便在用户访问论坛时对其进行身份验证 实现这一点最流行的方法是使用JSON Web令牌（JWT），您在这里了解到了这一点：结合从论坛到主站点的javascript回调来检查用户的状态（例如，用户是否登录到主站点） 一些托管论坛解决方案支持开箱即用的SSO，或者只需很少的工作。以下是两个例子：

有人为active directory配置过SAML SSO吗？当用户尝试登录Unqork平台时，我收到“电子邮件”是必需的错误。此错误是否意味着SAML令牌中需要电子邮件？修复此错误的下一步是什么 非常感谢 创建与电子邮件域相同的UPN后缀 将每个帐户的本地部分映射到电子邮件帐户 这将使用企业主体填充userPrincipalName属性，企业主体应与mail属性相同 理论上，这应该是可行的

我正在研究SSO的一些新用法。基本上，我试图找到一种方法来截获SAML请求，该请求通过某种IdP代理或第三方服务从服务提供商发送到身份提供商，该服务将保存SAML请求，并向用户提供一些附加功能。所需的过程可能如下所示： 用户从SP调用SAML请求-例如单击登录按钮 用户被重定向到第三方服务，例如小型调查（这是理论示例） 提交调查后，用户将被重定向到IdP，并应继续登录 我在SimpleSAMLphp和配置联合方面有很好的经验。但我试图找到一些关于这种拦截的有用信息，但失败了。我为这个解决方案添加

团队 我正在尝试使用Kerberos和SPNEGO为基于WAS7的web应用程序实现SSO。我几乎完成了配置。我对Kerberos没有什么怀疑 当我执行命令klist时，以下是输出 票证缓存：文件：/tmp/krb5cc_38698 默认委托人：pocsso1@POC.MAIL.COM renew until 08/09/2014 16:15 有效的启动过期服务主体 2014年9月1日16:15 2014年9月2日02:21 krbtgt/POC.MAIL。COM@POC.MAIL.COM

我正在使用ThinktectureIdenity服务器v3作为idenity提供程序。它向我发放访问令牌。我使用这些访问令牌进行web API通信。它工作得很好 我的问题是，如果任何人获得了这个颁发的令牌并尝试使用这个访问令牌访问web API，那么他/她就获得了访问权。我核实过了，我得到了权限。我们如何限制访问令牌仅由已发行的机器使用？你说得对-目前只有所谓的承载令牌的标准。谁有令牌，谁就可以使用它。这就是为什么对所有网络通信使用传输保护至关重要的原因 即将有关于占有证明语义和请求签名的规范

是否有人有过在应用程序上使用SAML和ADFS 2.0设置单点登录的经验，该应用程序已经使用表单身份验证设置了WIF STS。是否可以在同一ASP.NET应用程序中同时设置窗体身份验证设置和ADFS设置？要配置ADFS，需要在web.config中进行更改，这将覆盖为设置用于表单身份验证的STS所做的更改。当我尝试将当前设置与ADFS组合时，我无法访问ADFS服务器地址，这将导致编译错误，并说“无法加载类型请求验证程序”。我查找了这个错误消息，它与WIF“WS-Federation被动协议”有关

当使用华夫api进行windows身份验证时，我遇到了这个错误 “waffle.servlet.NegotiateSecurityFilter:登录用户时出错：提供给函数的令牌无效” 不知道为什么。你解决了吗？

我想创建一个POC，演示托管在不同服务器和不同机器上的两个不同应用程序之间的SSO（1.e.App-1：-Websphere App server 7.0.0.15和App2：-Jboss 6.2 EAP） 这两个应用程序共享相同的LDAP（用户存储库），因此用户可以从一个应用程序导航到另一个应用程序（App-1到App-2，反之亦然） 请告诉我哪种SSO技术在这种设置中是可行的 如果应用程序未部署在同一cookie域（检查）或部署在公共后缀（）中，则不能使用基于cookie的SSO机制，除非“

我们有一个站点，我们正在尝试使用WS-Federation和SAML将其配置为SSO场景中的客户端 我们的站点位于一个正在进行SSL卸载的负载平衡器后面-到平衡器的连接使用https，但在http和端口81下解密并转发（内部）到实际站点 WS-federation模块试图在某处重定向我们，但正在根据端口和传入协议建立URL到网站： 我们要求： 并被重定向到： http：//www.contoso.com:81/Application 这不起作用，因为负载平衡器（正确）不会在此端口上响应 这似乎

我已经在我的本地机器上安装了一个带有KeyClope的web应用程序。由于我使用KeyClope作为SSO实现，我希望在我的web应用程序中，每当单击“注册”按钮时，用户都会被引导到注册页面，而不是通过“登录”页面 这是指向注册表的示例URL，但是，它包含一个像会话id一样随机生成的选项卡id 我读过这篇文章 是的，只要您在中使用“注册”而不是“授权” 登录结束（授权端点）URL 但是无法修改中的我的端点。您可以将按钮链接更改为此格式- http://<domain.com>/au

我正在寻找使用Okta作为身份提供商的单点登录。但在SSO过程中，它给我405方法不允许，并显示“请求的方法POST不受支持””消息。它与我的另一个具有相同配置的Okta实例一样工作。是否有任何方法允许Okta的SSO后请求 请参考以下图片以供参考

因此，这里的问题是在身份提供者和门户之间建立连接，以便在SAML提供者应用程序和powerapps门户之间提供SSO登录。我还在广告B2C中使用登录用户流（发卡机构等填写在下图中的IdP表格中）。 登录提供商网站后，您可以进入多个门户网站。您应该在选择一个后登录。 以下图片是最值得一看的： 填写在表格中的信息 在门户管理中创建 登录后查看 选择后未登录 我的问题是： 我是否缺少一些站点设置？ 是否有地方可以输入某种证书或密钥以允许连接？ 是否可以在门户端完成，或者我是否需要联系提供商以某种方式

如何在没有sso服务器的情况下实现基于cookie的单点登录？ 我希望通过使用在多个应用程序中共享登录的用户 浏览器上只有一个cookie 在我看来，它是这样工作的： 用户登录应用程序 应用程序验证凭据，然后在上设置cookie 存储用户名（可以用私钥编码）的浏览器 如果用户打开另一个应用程序，它将搜索cookie并读取 值上的用户名（使用用于解码字符串的键） 在此解决方案中，用户可能会看到（另一个用户的）浏览器cookie 并获取用户名的编码字符串。然后他可以把它加上去 自己的饼干（不好！

我是WSO2新手，我将在以下场景中启用单点登录（SSO）： 运行centos的虚拟机（IP:192.168.0.18） WSO2 IdentityServer 4.1.0安装了https端口：9443 WSO2 ApplicationServer 5.1.0安装了https端口：9443 问题是： 当我访问应用服务器控制台管理时，我 已按预期重定向到身份提供商登录页面，我可以 登录 然后，我被重定向到初始请求（应用程序服务器管理） 控制台）但出现一条消息，告诉我 身份验证/授权失败 在日

我在机器上安装了SP。 我需要根据url将其配置为多个idP 前。 我们有两个主机one.myorg.com和two.myorg.com都指向同一个模块/机器-因此相同的SP 现在，我需要将我的sp配置为命中one.myorg.com/securesp应转到https://testshib.com/idp进行身份验证，否则将点击two.myorg.com/secureSP应转到https://myown.idp.comidp 编辑：它不应该要求选择idP。如果这仍然是实际的，您可以在这里找到一些

我有两个服务提供商（SP）和一个公共身份提供商（IDP） 我可以通过IDP启动的SSO登录到我的两个SP。 我的两个SP中都有相同的用户，因此用户查找工作正常 通过IDP登录后，我已登录SP1。在SPA中，我需要一个链接，该链接将重定向到SP2登录页，而无需再次调用登录ti ISP 我该怎么做？你对此有什么结论吗？我也希望这样做。我曾经打开sp2的直接链接。它在idp中进行了身份验证，并重定向到sp2，它成功了。

上下文： 我们有一个我们无法控制的OIDC IdP，但我们需要支持服务提供商（SP）对SSO的SAML请求 创意： 构建位于SP和OIDC身份提供程序之间的代理（应用程序）。来自SP的请求被发送到代理应用程序（充当SP的SAML IdP），代理应用程序将请求转换为OIDC请求，并将其转发给OIDC提供程序。来自OIDC提供程序的结果将返回到代理应用程序，代理应用程序将其转换为SAML响应，并将其转发给SP 问题： 我对SAML IdP（实现方面）的知识非常有限。这个方法对我来说似乎很难回答：感觉