如何将openam配置为身份提供程序（IdP）以测试基于SAML的SSO

Question

我正在尝试将openam配置为身份提供程序来测试我的SAML 基于服务提供商的应用程序。

我搜索了很多，看到了openam的文档。有很多 openam支持的东西，这可能是我不需要的 时刻。我不想阅读需要很多的整个文档 时间阅读我现在不想测试的东西。我甚至看到了 chatpet 9“管理SAML 2.0 SSO” http://docs.forgerock.org/en/openam/10.0.0/admin-guide/index/index.html 但在此之前需要配置很多东西。

是否有任何快速入门指南将其作为基于saml的IdP进行测试？

修改

不是很快，详细也很好。但我希望OpenAm成为身份提供者。 SP是我们开发的Jetty上托管的应用程序。还要告诉我，我必须在SP上做些什么改变，比如应用程序的URL应该用什么来回应。

Answer 1

你的问题确实没有一个通俗的答案。设置SAMLv2联合在很大程度上取决于实际的SP实现，一些SP可以使用SAML元数据，有些则不能。 在两个OpenAM实例之间建立联合以供参考的最简单方法是：

• 在node1上创建Hosted IdP向导
• 在node2上创建托管SP向导
• 在两个节点上删除持久性NameID-Format，因此两者都将在列表顶部具有瞬态
• 在node1上注册远程SP向导，URL为：node2 / openam / saml2 / jsp / exportmetadata.jsp
• 在node2上注册Remote IdP向导，URL为：node1 / openam / saml2 / jsp / exportmetadata.jsp
• 在Hosted SP设置中的node2上，将transient用户设置为“anonymous”

毕竟，您可以使用以下方法测试联盟：

• / openam / spssoinit？metaAlias = / sp＆amp; idpEntityID = node2上的node1_entityid
• / openam / idpssoinit？metaAlias = / idp＆amp; spEntityID = node1上的node2_entityid

我使用了默认的metaAlias值，但这些值应该在控制台页面上可见。同样，通过下载元数据，您可以看到给定实体的实际实体ID。

基于此，您现在应该看到，使用OpenAM IdP，您至少可以使用idpssoinit URL测试SAML支持（如果您的SP支持未经请求的响应），但从相反的方面来看，它几乎取决于您的SP实现如何实际触发SAML身份验证。

Answer 2

This似乎是一个简单的设置。