Чтобы ответить на ваш вопрос «Есть ли способ выяснить, что является причиной проблемы?», Я повторил ваши шаги аутентификации SAML 2.0, предложенные вашим сообщением.
Следующие ответы и ответы помогут вамчтобы "выяснить, что является причиной проблемы".
(1) Цитировать ваше сообщение "Я создал приложение SAML 2.0 на okta и завершил все настройки. Затем я пытаюсь выполнить авторизацию из своего приложения, путем перенаправления на okta idp -> http://www.okta.com/(okta созданный токен)? SAMLRequest = (закодированный saml xml) "
Response :
(I) Я создал приложение SAML 2.0 SP в okta и выполнил все настройки, как вы сделали.
(II) Затем я пытаюсь выполнить авторизацию из моего приложения SAML SP, выполнив перенаправление наokta idp, как вы сделали.
(III) Отправьте имя пользователя / пароль локальной учетной записи пользователя Okta (например, john.doe@example.com) для продолжения аутентификации SAML.
(2) Цитирую свой пост "Перенаправлениевозвращает 404. Когда я захожу в консоль администратора okta, я не вижу никаких журналов неудачной попытки, что, я думаю, имеет смысл, так как возвращает 404, но я не знаю, как выяснить, что вызывает404. "
Ответ :
(I) В моем эксперименте перенаправление возвращает следующее сообщение об ошибке вместо ошибки 404.
Sorry, you can't access SAML 2.0 SP demo because you are not assigned this app in Okta.
If you're wondering why this is happening, please contact your administrator.
If it's any consolation, we can take you to your Okta home page.
(II) Затем «Я иду в мою консоль администратора okta», как предложено в вашем сообщении, перейдите к Отчеты> Системный журнал, я увидел журнал ниже.
Event Info Targets
User attempted unauthorized access to app SAML 2.0 SP demo (AppInstance)
FAILURE :
(3) Процитируйте свой вопрос «Есть ли способ выяснить, что является причиной проблемы?»
Ответ :
Я суммирую четыре (4) потенциальных первопричины сбоя аутентификации SAML.Главная потенциальная причина №1 заключается в том, что вы загрузили неправильный файл метаданных IdP okta на свой сервер приложений SAML 2.0 SP (см. Подробное описание ниже).
(I) Потенциальная проблема # 1 :
Основной причиной моей проблемы является то, что моя локальная учетная запись пользователя okta НЕ была назначена для доступа к этому приложению SAML 2.0.
Разрешение :
(a) Перейдите в Приложения> Приложение SAML 2.0, затем нажмите «Назначить»> «Назначить людям»,
(b) На вкладкеВо всплывающем диалоговом окне выберите локальные учетные записи пользователей Okta (например, John Doe (john.doe@example.com)), нажмите «Назначить», нажмите «Сохранить и вернуться», затем нажмите «Готово».
(c)Повторив вышеописанные шаги аутентификации SAML 2.0, я был перенаправлен обратно и успешно вошел в приложение SAML 2.0.
(II) Потенциальная проблема # 2 :
Три (3) потенциальные основные причины этой проблемы:
(a) вы НЕ заполнили всю правильную информацию SAML SP вашего приложения SAML 2.0 SP на okta.
(b) или выНЕ загружал файл метаданных okta IdP на сервер приложений SAML 2.0 SP
(c) или загрузил неправильный файл метаданных okta IdP на сервер приложений SAML 2.0 SP (это самая высокая вероятность того, что ваш 404сбой, потому что в отличие от большинства IdP SAML, которые создают только один файл метаданных IdP fили все приложения SAML SP, создайте разные файлы метаданных IdP для разных приложений SAML SP.
Разрешение :
Относительно основной причины (II.a): Вынеобходимо убедиться, что следующая информация SAML SP должна совпадать с метаданными SAML SP вашего приложения SAML 2.0 SP при создании нового приложения SAML 2.0.
Single sign on URL should come from your SAML SP metadata, e.g.,
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://your-saml-sp-app-URL/SAML2/POST" index="1"/>
Audience URI (SP Entity ID) should also come from your SAML SP metadata, e.g.,
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="_random-string" entityID="https://your-saml-sp-app-URL/SAML2/Metadata">)
Пример настроек SAML SAML 2.0Приложение SP на okta
Перейдите в Приложения> ваше приложение SAML 2.0> общие> Настройки SAML
Single Sign On URL https://your-saml-sp-app-URL/SAML2/POST (i.e., your SAML SP AssertionConsumerService)
Recipient URL https://your-saml-sp-app-URL/SAML2/POST (i.e., your SAML SP AssertionConsumerService)
Destination URL https://your-saml-sp-app-URL/SAML2/POST (i.e., your SAML SP AssertionConsumerService)
Audience Restriction https://your-saml-sp-app-URL/SAML2/Metadata (i.e., your SAML SP entity ID)
Default Relay State
Name ID Format Unspecified
Response Signed
Assertion Signature Signed
Signature Algorithm RSA_SHA256
Digest Algorithm SHA256
Assertion Encryption Unencrypted
SAML Single Logout Disabled
authnContextClassRef PasswordProtectedTransport
Honor Force Authentication Yes
SAML Issuer ID http://www.okta.com/${org.externalKey}
Относительно основных причин (II.b) и (II.c): вам нужночтобы загрузить правильные метаданные IdP okta на сервер приложений SAML 2.0 SP.Обратите внимание, что okta создает разные файлы метаданных okta IdP для разных приложений SAML 2.0 SP.
Перейдите в Приложения> ваше приложение SAML 2.0> Вход в систему
Identity Provider metadata is available if this application supports dynamic configuration.
Щелкните по метаданным Identity Provider, чтобы загрузить метаданные okta IdP для вашего приложения SAML 2.0 SP.
Войдите в приложение SAML 2.0 SP, загрузите метаданные okta IdP в приложение SAML 2.0 SP, а затем заполнитеконфигурация для хранения информации о IdP okta на сервере приложений SAML 2.0 SP.