Блог

Главная - Вопросы по программированию - Могу ли я получить URI эмитента IDP и другую информацию из файла метаданных федерации ADFS saml?

Могу ли я получить URI эмитента IDP и другую информацию из файла метаданных федерации ADFS saml?

#saml #adfs #idp

#saml #adfs — файлы #idp #adfs

Вопрос:

Мне предоставили metadata.xml файл от клиента, который использует ADFS, и у которого возникли некоторые вопросы при настройке этого как внешнего IDP на основе SAML. Это будет интегрировано с веб-приложением (LAMP stack, если это уместно).

1) Могу ли я извлечь URI IDP-эмитента из этого XML-файла? Я вижу EntityId в файле, который выглядит примерно так «http://sts.blablaba.com«. Это одно и то же, или это то, что мне нужно получить отдельно от клиента? Это то же самое, что «Идентификатор доверия проверяющей стороны»?

2) Я вижу <X509Certificate> элемент, который выглядит как открытый ключ. Это сертификат подписи, который мне нужен для проверки сообщений / утверждений saml? Могу ли я просто скопировать / вставить это в файл .crt или .pem? Также присутствуют «DigestMethod», «DigestValue» и «SignatureValue».

3) Например, с потоком oauth2, поскольку он начинается на сайте, я могу сохранять перенаправления в сеансе и отправлять пользователей на разные страницы в зависимости от того, к чему они изначально пытались получить доступ. Кажется, что это было бы возможно с потоком, инициированным SP, но клиент говорит, что это будет инициировано IdP. Возможен ли этот тип динамического перенаправления страницы после входа в систему, учитывая, что состояние ретрансляции выглядит как статическое значение?

Комментарии:

1. что касается LAMP, используете ли вы mod_auth_mellon (на ‘A’) или SimpleSAMLphp (на ‘P’)? wrt 1) значение URI-эмитента должно совпадать со значением EntityId wrt 2) вам нужно извлечь значение элемента ‘X509Certificate’ и заключить его в PEM-boundary ‘——BEGIN СЕРТИФИКАТ——‘ , ‘—— ЗАВЕРШИТЬ СЕРТИФИКАТ ——‘ чтобы использовать его в файле ‘.pem’.

2. @BernhardThalmayr Спасибо за ответ, это огромная помощь. На самом деле, мы используем стороннюю службу (Okta), хотя я собираюсь использовать SimpleSAMLphp для настройки макета внешнего IdP для внутреннего тестирования.

3. Я предполагаю, что Okta — это сторона IdP, но какая реализация используется в качестве SAML SP?

4. @BernhardThalmayr Вау, прошел буквально год с тех пор, как я получил вашу помощь. С тех пор я разобрался со всеми своими проблемами, связанными с SSO, благодаря вашей помощи. Если вы хотите оставить ответ ниже, я отмечу is как принятый ответ.

5. Я рад, что вы смогли решить вашу проблему @sayajay