saml okta redirect idp失败

问题描述 投票:0回答:2

我已经在okta上创建了一个SAML 2.0应用程序并完成了所有配置。然后,我尝试通过重定向到okta idp - >来从我的应用程序进行授权

http://www.okta.com/(okta created token)?SAMLRequest=(encoded saml xml)

重定向返回404.当我进入我的管理员okta控制台时,我没有看到失败尝试的任何日志,我认为这是有意义的,因为它返回404,但我不知道如何弄清楚什么是导致404。

有没有办法找出导致问题的原因?

saml saml-2.0 okta
2个回答
0
投票

安装SAML跟踪器浏览器扩展并再次尝试以确认正确解码SAML响应。


0
投票

要解决您的问题“有没有办法找出导致问题的原因?”,我已经重复了您的帖子建议的SAML 2.0身份验证步骤。

以下回复和答案将帮助您“找出导致问题的原因”。

(1)引用你的帖子“我已经在okta上创建了一个SAML 2.0应用程序并完成了所有配置。然后我尝试从我的应用程序进行授权,通过重定向到okta idp - > http://www.okta.com/(okta创建的令牌)?SAMLRequest =(编码saml xml)“

响应:

(I)我已经在okta上创建了一个SAML 2.0 SP应用程序并完成了所有配置。

(II)然后,我尝试从我的SAML SP应用程序进行授权,通过重定向到okta idp。

(III)提交本地Okta用户帐户的用户名/密码(例如[email protected])以继续进行SAML身份验证。

(2)引用你的帖子“重定向返回404.当我进入我的管理员okta控制台时,我没有看到失败尝试的任何日志,我认为这是有意义的,因为它返回404,但我不知道如何弄清楚导致404的原因。“

响应:

(I)在我的实验中,重定向返回以下错误消息而不是404错误。

Sorry, you can't access SAML 2.0 SP demo because you are not assigned this app in Okta.

If you're wondering why this is happening, please contact your administrator.

If it's any consolation, we can take you to your Okta home page.

(II)然后按照你的帖子建议“我去我的管理员okta控制台”,导航到Reports> System Log,我看到下面的日志。

Event Info                                   Targets
User attempted unauthorized access to app    SAML 2.0 SP demo  (AppInstance)
FAILURE :

(3)引用你的问题“有没有办法找出导致问题的原因?”

回答:

我总结了SAML身份验证失败的四(4)个潜在根本原因。排名第一的潜在根本原因是您将错误的okta IdP元数据文件上传到SAML 2.0 SP应用服务器(请参阅下面的详细说明)。

(I)潜在问题#1:

我的问题的根本原因是我的本地okta用户帐户未被分配来访问此SAML 2.0应用程序。

解析度:

(a)导航到Applications> SAML 2.0 App,然后单击Assign> Assign to People,

(b)在弹出对话框中,选择本地Okta用户帐户(例如,John Doe([email protected])),单击“分配”,单击“保存并返回”,然后单击“完成”。

(c)再次重复上述SAML 2.0身份验证步骤,我被重定向并成功登录到SAML 2.0 App。

(II)潜在问题#2:

这个问题的三(3)个潜在根本原因是

(a)您没有在okta上填写SAML 2.0 SP应用程序的所有正确SAML SP信息。

(b)或者您没有将okta IdP元数据文件上传到SAML 2.0 SP应用服务器

(c)或者您将错误的okta IdP元数据文件上传到您的SAML 2.0 SP应用服务器(这是使您的404失败的最高概率,因为与大多数SAML IdP不同,它只为所有SAML SP应用创建一个IdP元数据文件, okta为不同的SAML SP应用程序创建不同的IdP元数据文件。

解析度:

关于根本原因(II.a):您需要确保在创建新的SAML 2.0应用程序时,以下SAML SP信息应与SAML 2.0 SP应用程序的SAML SP元数据完全相同。

Single sign on URL should come from your SAML SP metadata, e.g.,
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://your-saml-sp-app-URL/SAML2/POST" index="1"/>

Audience URI (SP Entity ID) should also come from your SAML SP metadata, e.g.,
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="_random-string" entityID="https://your-saml-sp-app-URL/SAML2/Metadata">)

okta上的SAML 2.0 SP应用程序的SAML设置示例

导航到应用程序>您的SAML 2.0应用程序>常规> SAML设置

Single Sign On URL          https://your-saml-sp-app-URL/SAML2/POST (i.e., your SAML SP AssertionConsumerService)
Recipient URL               https://your-saml-sp-app-URL/SAML2/POST (i.e., your SAML SP AssertionConsumerService)
Destination URL             https://your-saml-sp-app-URL/SAML2/POST (i.e., your SAML SP AssertionConsumerService)
Audience Restriction        https://your-saml-sp-app-URL/SAML2/Metadata (i.e., your SAML SP entity ID)
Default Relay State
Name ID Format              Unspecified
Response                    Signed
Assertion Signature         Signed
Signature Algorithm         RSA_SHA256
Digest Algorithm            SHA256
Assertion Encryption        Unencrypted
SAML Single Logout          Disabled
authnContextClassRef        PasswordProtectedTransport
Honor Force Authentication  Yes
SAML Issuer ID              http://www.okta.com/${org.externalKey}

关于根本原因(II.b)和(II.c):您需要将正确的okta IdP元数据上传到SAML 2.0 SP应用服务器。请注意,okta为您的不同S​​AML 2.0 SP应用程序创建不同的okta IdP元数据文件。

导航到应用程序>您的SAML 2.0应用程序>登录

Identity Provider metadata is available if this application supports dynamic configuration. 

单击身份提供程序元数据以下载SAML 2.0 SP应用程序的okta IdP元数据。

登录到您的SAML 2.0 SP应用程序,将okta IdP元数据上传到您的SAML 2.0 SP应用程序,然后完成配置以在您的SAML 2.0 SP应用服务器上存储okta IdP信息。

© www.soinside.com 2019 - 2024. All rights reserved.