如何将 openam 配置为身份提供者 (IdP) 以测试基于 SAML 的 SSO

Question

我正在尝试将 openam 配置为身份提供者来测试我的 SAML 基于服务提供者的应用程序。

我进行了很多搜索并看到了 openam 的文档。有很多 openam 支持的东西，我可能不需要 片刻。我不想阅读整个文档，这需要很多 时间阅读我现在不想测试的东西。我什至看到了 chatpet 9“管理 SAML 2.0 SSO”，位于 http://docs.forgerock.org/en/openam/10.0.0/admin-guide/index/index.html 但在此之前需要配置很多东西。

是否有任何快速入门指南可以将其作为基于 saml 的 IdP 进行测试？

编辑

不是快速，详细也可以。但我希望 OpenAm 作为身份提供者。 SP 是我们开发的托管在 Jetty 上的应用程序。还告诉我我必须在 SP 上进行哪些更改，例如应用程序的哪些 url 应该响应什么。

Answer 1

对于您的问题，真的没有万能的答案。设置 SAMLv2 联合很大程度上取决于实际的 SP 实现，有些 SP 可以使用 SAML 元数据，有些则不能。 在两个 OpenAM 实例之间建立联合以供参考的最简单方法是：

• 在节点 1 上创建托管 IdP 向导
• 在 node2 上创建托管 SP 向导
• 在两个节点上删除持久的 NameID 格式，因此两个节点都将在列表顶部具有瞬态
• 在 node1 上注册远程 SP 向导，URL 为：node2/openam/saml2/jsp/exportmetadata.jsp
• 在 node2 上注册远程 IdP 向导，URL 为：node1/openam/saml2/jsp/exportmetadata.jsp
• 在 Node2 上的 Hosted SP 设置中将临时用户设置为“匿名”

毕竟，您可以使用以下方法测试联邦：

• /openam/spssoinit?metaAlias=/sp&idpEntityID=node1_entityid on node2
• /openam/idpssoinit?metaAlias=/idp&spEntityID=node2_entityid on node1

我使用了默认的 metaAlias 值，但这些值应该在控制台页面上可见。同样，通过下载元数据，您可以查看给定实体的实际实体 ID。

基于此，您现在应该看到，使用 OpenAM IdP，您至少可以使用 idpssoinit URL 测试 SAML 支持（如果您的 SP 支持未经请求的响应），但从另一方面来看，它在很大程度上取决于您的 SP 实施您需要如何实际触发 SAML 身份验证。

Answer 2

This 似乎是一个简单的设置。