我尝试使用WS02 Identity Server IDP配置Shibboleth SP。
在Linux Redhat上安装并配置了Shibboleth SP 2.5.3版。 Apache HTTPD 2.4.6在同一台服务器上安装和配置。这两项服务都在运行。
WSO2 Identity Server 5.0.0安装在Linux上与Shibboleth SP / Apache HTTPD服务器分开的服务器上。
两台服务器都可以相互通信。
我已广泛遵循本文http://www.yenlo.com/en/creating-single-sign-on-between-liferay-and-wso2-identity-server/来设置常驻IDP并注册Shibboleth服务提供商。
我创建了IDP元数据并将其存储在SP服务器上。太好了。
我创建了一个简单的测试页面并通过将以下内容放入我的httpd.conf来保护它:
<Location /secure>
AuthType shibboleth
ShibRequestSetting requireSession 1
require shib-session
</Location>
测试它工作的服务到某一点,从浏览器我进入安全位置../secure/secure.html,然后将其重定向到WS02 IDP登录屏幕。我输入了用户名和密码,WSO2 IDP对用户进行了身份验证,但由于某种原因无法重定向回SP。
wso2carbon.log中报告了以下错误:
TID:[0] [IS] [2015-03-25 17:53:28,041] ERROR {org.wso2.carbon.identity.sso.saml.processors.SPInitSSOAuthnRequestProcessor} - ALERT:无效的断言消费者URL值& #39; http://xx.xx.xx.xx/Shibboleth.sso/SAML2/POST&#39;在来自发行人&#39; devqa.labs.xxxxxxx.net&#39;的AuthnRequest消息中。可能是欺骗性攻击的尝试{org.wso2.carbon.identity.sso.saml.processors.SPInitSSOAuthnRequestProcessor}
SP的元数据表示&#34; // xx.xx.xx.xx / Shibboleth.sso / SAML2 / POST&#34;是一个有效的断言URL。
互联网上没有很多帖子出现这样的错误,所以如果有人能指出我正确的方向,我将不得不承担责任。
此致 斯蒂芬
答案 0 :(得分:1)
异常消息确实表明IS认为请求和配置的ACS URL不同。请提供(或检查)SAML AuthnRequest中发送的ACS和配置了服务提供商SAML配置的ACS。 (必须是相同的,包括区分大小写的表达式)
祝你好运 加布里埃尔