我在Keycloak中创建了SAML身份提供程序。如FederationMetadata.xml中所述,单点登录URL为https://[URL]/adfs/ls。
[如果我现在正在使用Keycloak-User-Login,我会看到一个链接,在该链接中,我将被重定向到单个登录页面,但是此后出现错误,因为我没有指定任何查询参数,例如[C0 ]或wa=signin1.0或whr=https:\\foo\adfs\services\trust
如果我将这个参数正确地包含在签名登录网址中,则可以登录,但是keycloak无法识别发生了什么。
在我看来,配置为单点登录URL的URL无任何作用,而正如我在Keycloak中配置的身份提供程序那样,它是没有用的。
任何人都可以通过一些指针帮助我,以加深我对AD FS与密钥斗篷之间的交互以及它们如何协同工作的理解?
我最近参与了一个项目,在该项目中,我们设置了KeyCloak充当ADFS IdP的SP。
[只有在设置以下设置后,我们才能使SAML请求正确处理:
IdP URL:wtrealm=https:\\sso.foo.bar
NameID策略格式:${IDP_URL}/adfs/ls/
WantAuthnRequestsSigned:persistent
WantAssertionsSigned:true
SignatureAlgorithm:true
SAMLSignatureKeyName:RSA_SHA256
除了更新KeyCloak(作为SP)中的NameID策略之外,我们还必须在IdP端进行自定义设置,以确保NameID以CERT_SUBJECT格式发送回。