SAML дает неэкранированное исключение - PullRequest
Новая
       8

SAML дает неэкранированное исключение

0 голосов
/ 05 июля 2019

Я получаю сообщение об ошибке ниже при попытке входа через SSO 

sspmod_saml_Error: Responder/AuthnFailed: Transaction was cancelled

В чем причина этой ошибки? Конфигурация SAML или аутентификация? пожалуйста, совет

1 Ответ

1 голос
/ 05 июля 2019

Вопрос 1 : Я получаю сообщение об ошибке ниже, когда пытаюсь войти через SSO.В чем причина этой ошибки?Конфигурация SAML или аутентификация?

Ответ :
Ошибка «Responder / AuthnFailed» указывает на ошибку аутентификации SAML.Ошибка конфигурации SAML является одной из основных причин сбоя аутентификации SAML.

Шесть (6) типичных основных причин сбоя аутентификации SAML:

  • Ответ / оценка / токен SAML должны быть погашены в течение5 минут выдачи, предоставляемых вашим SAML IdP.Другими словами, SAML SP должен синхронизироваться с SAML IdP.Другими словами, время сервера SAML SP должно быть почти таким же, как у сервера SAML IdP.Проверьте разрешение, предоставленное другим вопросом StackOverflow ExpiredTokenException, когда я выполняю вход в SAMS SSO через AWS с моего локального IdP .
  • Метаданные SAML IdP предоставляют неверный открытый сертификат / ключ для проверки подписанного утверждения в SAML SP.Проверьте разрешение, предоставленное другим вопросом StackOverflow ExpiredTokenException, когда я выполняю вход в SAMS SSO с помощью моего локального IdP .
  • Ошибка конфигурации SAML IdP, связанная с тремя (3) различными открытыми сертификатами. Как собрать и запустить Shibboleth SAML IdP и SP с помощью контейнера Docker в репозитории GitHub предоставляет метаданные Shibboleth SAML IdP «shibboleth-idp-dockerized / ext-conf / metadata / idp-metadata.xml», которые былиподтверждено успешным SSO для многочисленных корпоративных приложений.Эти метаданные Shibboleth SAML IdP состоят из трех сертификатов подписи (подписать ответы, подписать подтверждения и зашифровать утверждения), а конфигурация проверяющей стороны «shibboleth-idp-dockerized / ext-conf / conf / relying-party.xml» позволяет системным администраторам определятьдолжен ли IdP SAML подписывать ответы, подписывать подтверждения или шифровать утверждения.
  • Формат идентификатора имени, переносимый ответом SAML / подтверждением SAML (отправленным IdP SAML), НЕ соответствует требованиям SAML SP.
  • Атрибуты пользователя, переносимые ответом SAML / подтверждением SAML (отправленным IdP SAML), НЕ соответствуют требованиям SAML SP.Например, Amazon AWS SAML SP требует своих собственных пользовательских атрибутов (т. Е. Role и RoleSessionName), отправленных SAML IdP.
  • Ответ SAML / подтверждение SAML (отправленное IdP SAML) доставляет неправильный EntityID SAML SP.
...