问题标签 [openam]

我正在尝试为 OpenAM 编写 SAML2 AuthnRequest。我有一个 URL，我可以针对该 URL 执行获取，但是在将其组合到 XHTML 帖子表单中时遇到问题。

带有查询字符串的工作 URL 是

http://internal.authhost.com:8080/opensso/idpssoinit?NameIDFormat=urn:oasis:names:tc:SAML:2.0:nameid-format:transient&metaAlias=%2FMYRealm%2Fidp&spEntityID=https%3A%2F%2Fsaml.salesforce .com&binding=urn%3Aoasis%3Anames%3Atc%3ASAML%3A2.0%3Abindings%3AHTTP-POST&RelayState=webj_captureCustomerDetails

我的 html 表单如下所示：

SAMLRequest 的值是 Base 64 编码表示

发出此表单会导致来自 OpenAM 的错误消息指出“服务提供商 ID 为空”

我可以立即看到 XML 不包含 metaAlias=/MYRealm/idp 参数，但消息表明它也找不到 spEntityID=https://saml.salesforce.com 参数。

请告知需要在 XML 中指定这两个属性（metaAlias 和 spEntityID）的位置。

一个指向指定 OpenAM COT / IdP 配置如何映射到 SAML AuthnRequest 消息的链接也将不胜感激。

如果禁用 cookie，OpenAM 会工作吗？

我有一个 Flex 应用程序，在某些浏览器（Chrome、Firefox）上，尝试上传文件时，Flash 播放器不会传递 OpenAM cookie。我需要找到另一种方法来做到这一点。禁用 cookie 时有什么方法可以使用 OpenAM？

我已成功设置 OpenAM 和 j2ee 策略代理来执行我的 sso、身份验证和授权。现在希望我的受保护的 java 应用程序能够访问当前登录用户的信息（例如用户名和组）

是否可以同时使用BasicAuth保护和SSO（单点登录）？我们使用跨域单点登录 (CDSSO)，希望通过 BasicAuth 向公众隐藏我们的登台服务器，并希望通过 SSO 启用登录。每次我们放入相应的 VHost 条目来保护服务器时，SSO 就不再起作用了。我们的 Apache 虚拟主机条目如下所示

OpenAM 的 Web 策略代理的日志文件表明在 dsame_check 期间存在某种授权失败（可能是一种心跳消息，以查看代理是否处于活动状态？）：

在具有策略代理的计算机的 Apache 访问日志中，我们收到以下401 UnauthorizedHTTP 错误（192.168.1.1 是 OpenAM 服务器的本地 IP）：

我们如何更改配置以启用 BasicAuth和SSO？还是根本不可能？如果我们取消对 Apache Web 服务器的保护，dsame 检查和 SSO 将再次工作。

我已经安装了 OpenAM (OpenSSO) 来使用我的 liferay 门户。因此，liferay 的身份验证现在通过 openam 服务器进行。这工作正常。但现在我想保护部署在 glassfish 应用服务器上的自己的应用程序 (EAR)。

我找不到任何示例如何配置我的 web 模块以使用 openam/opensso。任何人都可以帮助我如何配置我的 Web 应用程序吗？

好的，所以我检查了 Open-AM 中的所有缓存都已关闭。如果您登录到 open-AM 并更改您的信息，一切正常，它会正确显示在 LDAP 和 Open-AM 中。但是，如果您使用 Apache Directory Studio 在 OpenLDAP 中更改任何帐户信息（例如电子邮件地址），Open-AM 似乎不会更新它在最终用户页面中仍然具有旧电子邮件的信息。所以我的问题是，为什么会发生这种情况？

我正在尝试在 Java 中创建一个安全且可能计量的 Web 服务。

在我的研究中，我找到了很多关于 OpenSSO 的信息，并认为这是我的解决方案，直到我发现OpenAM已经接管了控制权并且不再开发 OpenSSO！

我已经安装了 Tomcat7+OpenAM 的最新版本并开始配置它。

我的目标：

我想要一个基于会话/令牌的身份验证，用户可以在其中从安全的 Web 服务端点请求令牌（OpenAM 似乎提供了这个），而不是将该令牌包含在对受 OpenAM 保护的 Web 服务端点的后续 HTTP 请求中。

我看到了有关如何为 Apache 创建“代理策略”的指南……但到目前为止还没有 Tomcat？也许我对这些东西是如何工作的很天真——也许我会为 Tomcat 使用 Java EE 策略？

最后，很高兴：当用户点击特定服务时，我可以获取他们经过身份验证的令牌，并使用它以某种有意义的方式“计量”服务（记录有关请求的信息） - 是否有 API 挂钩在 OpenAM 中还是我应该计划在内部将其实施到 Web 服务？

我的问题是：是否有任何指南或示例项目来演示这种类型的配置。OpenAM 的文档很好，但我想我需要更多的帮助。

所有，我们正在构建一个带有 Spring 安全性的 J2EE 应用程序，希望使用 Open AM 来生成安全令牌。请为此建议最佳实践/方法。感谢您是否可以提供任何链接和代码示例。

我正在将 SalesForce 和 OpenSSO 与 SAML 集成。我已经实施了现场提到的步骤

• http://wiki.developerforce.com/page/Single_Sign-On_with_SAML_on_Force.com

SAML 有两个重要的用例

1. 身份提供者启动登录，用户直接从其身份提供者开始，登录，然后被重定向到服务提供者的登录页面；----这个案例工作正常
2. 服务提供商发起的登录，用户首先单击指向服务提供商的链接（例如书签、邮寄链接等），然后临时重定向到身份提供商进行身份验证，然后返回到他们最初请求的链接。

我正在尝试实施第二个场景：我正在执行以下步骤

1. 在 SalesForce 中创建我的域并为用户部署
2. 在单点登录设置中添加了身份提供者
3. 当我访问 My Domain URL 时。它将我重定向到身份提供者登录页面。
4. 登录 IDP 后，它不会重定向回 SalesForce 页面。它显示 IDP 成功页面。

我应该如何重定向回 SalesForce 成功页面？