Question

我正在尝试使用Okta进行spring-boot-security-saml-sample应用程序。要将Okta添加为提供者，我对WebSecurityConfig.java进行了以下更改：

https://gist.github.com/mraible/c8b52972f76e6f5e30d5

我发现以下问题提供了一些指导，但我无法完成工作。

configuring saml-sample (SP) to work with Okta (IdP)

以下是我在Okta上使用的值：

Application label: Spring Boot SAML App
Force Authentication: false
Post Back URL: http://localhost:8080/
Name ID Format: EmailAddressRecipient
Recipient: http://localhost:8080/saml/SSO/alias/defaultAlias
Audience Restriction: com:vdenotaris:spring:sp
authnContextClassRef: PasswordProtectedTransport
Response: Signed
Assertion: Signed
Request: Compressed
Destination: http://localhost:8080/saml/SSO/alias/defaultAlias
Default Relay State: (none)
Attribute Statements: email|${user.email},firstName|${user.firstName}

看起来它可以从日志中运行：

[2014-12-30 12:18:33.004] boot - 18748 DEBUG [http-nio-8080-exec-8] --- BaseMessageEncoder: Successfully encoded message.
[2014-12-30 12:18:33.004] boot - 18748 DEBUG [http-nio-8080-exec-8] --- HttpSessionStorage: Storing message a12gf64fh3f35fgh2a8dd1fd0i0dc02 to session C5D010344EF5D022718B12B6D25F1D1E
[2014-12-30 12:18:33.004] boot - 18748  INFO [http-nio-8080-exec-8] --- SAMLDefaultLogger: AuthNRequest;SUCCESS;0:0:0:0:0:0:0:1;com:vdenotaris:spring:sp;http://www.okta.com/k2gpb06TOMYOKAWUSXJM;;;

但是，它会将我重定向到Okta的网站，而不是回到我的网站。

Answer 1

我得到了它的工作！关键似乎是将请求设置为＆＃34;未压缩＆＃34;。从那里，我删除了＆＃34; alias / defaultAlias＆＃34;因为这只在您在ExtendedMetadata上设置别名时才起作用。我的设置适用于Okta方面：

Application label: Spring Boot SAML App
Force Authentication: false
Post Back URL: http://localhost:8080/saml/SSO
Name ID Format: EmailAddressRecipient
Recipient: http://localhost:8080/saml/SSO
Audience Restriction: com:vdenotaris:spring:sp
authnContextClassRef: PasswordProtectedTransport
Response: Signed
Assertion: Signed
Request: Uncompressed
Destination: http://localhost:8080/saml/SSO
Default Relay State: (none)
Attribute Statements: email|${user.email},firstName|${user.firstName}

Answer 2

马特，

尝试设置＆＃34;回发网址＆＃34; to＆＃34; localhost：8080 / saml / SSO / alias / defaultAlias＆＃34;。

从配置的外观＆＃34; localhost：8080 / saml / SSO / alias / defaultAlias＆＃34;是＆＃34; localhost＆＃34;上的SAML端点这是我们发布SAML响应的地方。

现在它是＆＃34; localhost：8080 /＆＃34; - 您的演示站点可能只是将您重定向回Okta，而不是解析SAML响应。

你还没有提到你在Okta方面所做的事情来测试它。以下是有关如何操作的说明 - https://support.okta.com/entries/27560008-Using-the-App-Integration-Wizard - 使用我们的应用向导在okta端创建正确的SAML IDP端点。您的演示站点需要Okta端的SAML登录URL，以便它知道将SAML请求重定向到何处。

有关SAML的更多信息 - 您可以在我们的开发者网站上查看我们的SAML指南 - http://developer.okta.com/docs/getting_started/saml_guidance.html

让我知道它是怎么回事。干杯

斯蒂芬

如何配置Spring Security SAML以与Okta一起使用？

2 个答案: