У меня есть веб-приложение Java / J2EE, использующее аутентификацию SAML. Я использую Keycloak 3.1.0 в качестве брокера и Okta в качестве Idp.
У меня все работало и все шло нормально. Затем нам пришлось по какой-то причине перенести экземпляр Okta в другой Okta.
Для поддержки:
Я создал новое Царство в Keycloak и добавил в него новую Okta как saml 2.0 Idp.
Я также добавил свое веб-приложение в качестве клиента в этой области. Везде saml ответ оставался подписанным с помощью алгоритма RSA_SHA256.
Я добавил Keycloak в Okta как приложение и загрузил метаданные Okta в настройки Idp Keycloak.
Я также сгенерировал ключи SAML в виде keystore.jks и установки -keycloak-adapter.xml из Keycloak - настройки клиента и добавил их в свое веб-приложение -war
Я импортировал Okta.cert в keystore.jks, используя keytool.exe
После всего этого все перенаправления работают нормально. Когда я нажимаю на URL своего приложения, он переходит в keycloak и оттуда идет в Okta, я заполняю имя пользователя и пароль на странице входа в Okta, он возвращается к Keycloak, а затем возвращается в webapp url / saml и затем в мой веб сервер JBOSS выдает ошибку, что исключение keycloak.adapter.validation - не удалось проверить подпись.
Я повторял этот процесс много раз, но каждый раз сталкиваюсь с одной и той же проблемой.
Раньше, когда я работал, я делал то же самое. Разницы нет.
Теперь я застрял в этой ошибке. Любой указатель, чтобы исправить это или отладить это, очень поможет. Я не уверен, как и что мне следует отлаживать.