Single sign on 会话验证端点在AM5中工作,但没有’;我不在AM6工作
在过去的几天里,我一直在努力让AM6(Forgerock访问管理)使用与AM5相同的配置。在用户执行OpenID Connect授权代码流之后,我正在尝试验证会话 我的设置:Single sign on 会话验证端点在AM5中工作,但没有’;我不在AM6工作,single-sign-on,openam,forgerock,Single Sign On,Openam,Forgerock,在过去的几天里,我一直在努力让AM6(Forgerock访问管理)使用与AM5相同的配置。在用户执行OpenID Connect授权代码流之后,我正在尝试验证会话 我的设置: 我部署了一个AM实例 从常见任务配置OpenID连接 从Applications->OAuth2.0添加了OAuth2客户端。设置所有配置:重定向URI、作用域生存期等,并将“令牌端点身份验证方法”设置为client\u secret\u post (可选)将默示同意添加到OAuth 2.0客户端,然后设置服务->OAut
client\u secret\u post
允许客户端跳过同意=true
/oauth2/access_-token
)发送帖子
(
[client_id] => my_client
[client_secret] => my_client_pass
[code] => a5867a21-4d5a-4285-ba07-dcbe46d53bc6
[redirect_uri] => http://localhost:3000/auth/callback
[grant_type] => authorization_code
)
access\u令牌
和id\u令牌
(
[access_token] => e78569fb-e162-4e4f-ab5e-79ebeaf2ba94
[scope] => openid offline_access profile email
[id_token] => eyJ0eXAiOiJKV1QiLCJraWQiOiJiL.......
[token_type] => Bearer
[expires_in] => 35999
)
{"valid":true,"uid":"my-user-here","realm":"/"}
针对AM6.0.0.4进行测试时,我总是得到:
{"valid":false}
我是否缺少阻止生成的openid_令牌在会话端点中可用的内容 如果有人偶然发现相同的问题,我发现我错过了AM6中添加的一个重要设置:授权OIDC SSO客户端 这将强制您的会话id与OpenID Connect中的id_令牌相同
另一个解决方案是研究使用
/oauth2/connect/checkSession
端点来验证令牌您有不同的领域吗?没有,只有一个默认领域。
{"valid":false}