Проблема SSO Auth0-> SAML в Atlassian (объект SP и URL ACS)

Question

Поэтому я пытаюсь интегрировать единый вход с Auth0 (являющимся одновременно поставщиком услуг и поставщиком удостоверений) со стеком Atlassian.

Предложение Atlassian SAML с единым входом. Тем не менее, это говорит мне:

Your users won't be able to log in with SAML single sign-on until you've copied 
the values for SP Entity ID and SP Assertion Consumer Service URL to your 
identity provider.

Я поместил URL-адрес службы подтверждения утверждений вместо URL-адреса обратного вызова, провел некоторое исследование и почти уверен, что это правильно.

Однако проблема связана с идентификатором объекта. Куда это денется?

Answer 1

Не зная точную ошибку, на которую вы ссылаетесь, я не могу добавить слишком много помощи, кроме прилагаемого документа от Auth0, который детализирует SSL-аутентификацию SAML с Auth0, которая выполняет процесс шаг за шагом. Я надеюсь, что это поможет вам в ваших поисках!

https://auth0.com/docs/protocols/saml/samlsso-auth0-to-auth0

Answer 2

Я предполагаю, что auth0 выступает в роли поставщика услуг.

Утверждения URL службы поддержки пользователей должен быть:

https://YOUR_DOMAIN/login/callback?connection=YOUR_CONNECTION_NAME

Идентификатор объекта поставщика услуг должен быть:

urn:auth0:YOUR_TENANT:YOUR_CONNECTION_NAME

Вы можете загрузить метаданные поставщика услуг, как показано ниже, в формате XML и загрузить в IDP для создания конфигурации.

Перейдите к https://YOUR_DOMAIN/samlp/metadata?connection=YOUR_CONNECTION_NAME

Дополнительно:

URI: urn:oasis:names:tc:SAML:2.0:nameid-format:entity Указывает, что содержимое элемента является идентификатором объекта, который предоставляет услуги на основе SAML (например, полномочия SAML) или является участник профилей SAML (например, поставщик услуг, поддерживающий профили браузера SSO). Такой идентификатор можно использовать в элемент для идентификации отправителя запроса SAML, ответа, или утверждение, или внутри элемента, чтобы сделать утверждения о системные объекты, которые могут выдавать запросы SAML, ответы и утверждения. Он также может быть использован в других элементах и ​​атрибутах, чьи Цель состоит в том, чтобы идентифицировать системный объект в различных обменах протоколами. Синтаксис такого идентификатора - URI не более 1024 длина символов РЕКОМЕНДУЕТСЯ, чтобы системный объект использовал URL содержащий собственное доменное имя, чтобы идентифицировать себя (Спецификация SAML CORE, раздел 8.3.6) https://www.oasis -open.org / комитеты / download.php / 7473 / ГКНТ-SAML-ядро-2,0-проект-15-diff.pdf https://spaces.at.internet2.edu/display/InCFederation/Entity+IDs

Answer 3

Я не использовал Auth0 раньше, но я думаю, что вы должны установить его как audience в настройках, например см https://auth0.com/docs/protocols/saml/saml-apps/heroku ИМХО, но вариант конфигурации немного вводит в заблуждение. Вместо использования audience, использование EntityID может быть более понятным, поскольку этот термин также используется в спецификации SAML.