我正在实施 SAML 2.0 服务提供者,需要安装 SAML 2.0 身份提供者进行测试。鉴于这种需求,Identity Provider 最好是免费的(或有试用期)并且易于设置和配置。
我正在寻找基本的单点登录和单点注销功能。
我已经尝试过 Sun Opensso Enterprise。价格合适,但到目前为止,配置起来简直就是一场噩梦。此外,它的错误消息和日志记录还有很多不足之处,我经常解决一个基本上归结为配置错误或违反直觉的默认设置的问题。
【问题讨论】:
标签: testing single-sign-on saml
我正在使用 Keycloak (https://www.keycloak.org/)。
【讨论】:
您可以将Auth0 配置为 SAML IdP。设置is straight-forward 并提供免费套餐。
【讨论】:
看看this answer。
简而言之,samling 是一个无服务器 SAML IdP,用于测试任何 SAML SP 端点。它支持 AuthnRequest 和 LogoutRequest。它仅在浏览器中运行,以模拟从 SAML IdP 返回的 SAML 响应 - 无需注册,无需服务器,只需一个浏览器,允许您控制响应的许多方面 - 从成功到各种失败。
【讨论】:
使用samlidp.io,它非常适合免费测试,您可以通过添加自定义 SP 的元数据来设置自己的 IdP,仅此而已。
【讨论】:
长期以来,我一直在努力测试 SAML2 集成,并使用了 OpenSSO。自从我发现 OKTA 用于测试应用程序http://okta.com/ 之后,我就再也没有回头。它非常完美,易于使用,您还可以创建不同的用户并将自定义属性发送回 SP。
OpenSSO 不好。首先,您有那些甚至没有意义的荒谬验证码。 SSOCircle 不允许您发送自定义属性,也不允许您使用 SHA-256 加密,就我所见。 OpenSSO 不会为您提供有关错误消息的任何帮助,除非您为其 debug 功能付费(考虑到应用程序的其余部分运行不佳,这可能很糟糕)。
【讨论】:
我建议使用 OpenAm https://backstage.forgerock.com/#!/downloads/OpenAM/OpenAM%20Enterprise#browse 在 tomcat 实例上本地安装。在几个小时内设置和启动并运行它非常容易。
【讨论】:
您可以使用托管测试平台,例如TestShib 或OpenIdP,而不是安装和配置 IdP。两者的工作方式相同,但 OpenIdP 要求您注册。
【讨论】:
你可以试试 LemonLDAP::NG (http://lemonldap-ng.org)
它针对大多数 Linux 发行版打包,因此易于安装和设置。
【讨论】:
您在配置 OpenSSO 时遇到什么问题?我发现 OpenSSO 是最简单的设置!
我关于启动和运行基本 IDP 的说明如下 - 希望它们能帮助您启动和运行。
迈克尔
我发现最好(即最无痛)的方法是......
我使用以下设置步骤(我使用 OpenSSO build 7):
以上说明基于http://developers.sun.com/identity/reference/techart/opensso-glassfish.html
您现在已经掌握并运行了基础知识。在 / 被调用的用户下创建一个子域,并在其中创建一个或两个帐户。
现在准备您的 SP 元数据。开始时不要在元数据中添加太多 - 保持简单。
在 GUI 的默认页面中,选择创建托管 IDP。这是一个非常基本的工作流程。您应该指定您的 /users 领域并选择使用测试密钥别名进行签名。您创建的信任圈可以说是无足轻重的。
当您完成工作流程时,系统会询问您是否要为 SP 导入元数据 - 说是并选择从您准备好的元数据文件中导入。
在这个阶段你应该已经准备好了。
接下来您需要获取 IDP 元数据。有几种方法可以做到这一点。您可以使用“http://servername:8080/opensso/ssoadm.jsp?cmd=export-entity”或“http://servername:8080/opensso/saml2/jsp/exportmetadata.jsp?realm=/users”。
...设置就差不多了。
如果您遇到与 OpenSSO 互操作的问题,您可以查看 OpenSSO 数据目录(默认为 ~/opensso)。那里的子目录中有调试和日志记录信息。您可以使用 OpenSSO Wiki 交叉引用该信息,其中包含一些非常好的故障排除信息。
【讨论】: