Отсутствует атрибут SAMR InResponseTo в SP, инициированный вход Okta

Question

Я пытаюсь добавить новый сервис в существующую настройку Okta.Сервис использует SAML для аутентификации и использует строгую проверку сообщений SAML.

Когда состояние сеанса Okta уже присутствует в браузере, все работает нормально.Ответ Okta SAML содержит все необходимые атрибуты для проверки, и все просто работает.

Однако при использовании «чистого» браузера для запуска нового сеанса моя служба не может правильно проверить ответ Okta SAML.Ответ действителен и правильно подписан, но в нем отсутствует атрибут InResponseTo, который требуется для строгой проверки.

Интересно, возможно, кто-то сталкивался с такой проблемой раньше?Может ли быть какая-то скрытая настройка в Okta или какая-то распространенная ошибка установки в провайдере аутентификации?

Answer 1

Ваша служба жалуется на последовательность шагов, которые вы используете для запуска потока единого входа.В так называемом потоке SSO, инициированном поставщиком услуг, вы нажимаете на ссылку, ведущую к вашему сервису.Затем ваша служба, выступающая в качестве поставщика услуг SAML (SP), отправляет запрос проверки подлинности SAML поставщику удостоверений (Okta), который затем отвечает на этот запрос ответом SAML.Поскольку поставщик удостоверений отвечает на запрос поставщика услуг, ответ SAML будет содержать элемент InResponseTo.

Как это исправить?Это все о вашем обслуживании, а не Okta.Вам необходимо определить правильный URL-адрес и / или формат запроса к вашей службе, который приведет к отправке запроса проверки подлинности SAML поставщику удостоверений.

См. Okta docs для получения дополнительной информации.