我们有一个大型迁移项目,其中SSO通过SAML2实现。一个WebLogic 10.3.6容器充当身份提供者(idp),所有其他weblogic容器都配置为服务提供者(sp)。 我们希望保持这种情况不变。新的或迁移的应用程序使用SSO方案,其中WSO2作为身份提供者,OAuth2用于SSO服务。
是否可以将WSO2中的旧(weblogic)SAML2 idp定义为受信任的idp,并使用SAML2和OAuth2实现整体SSO场景 - 保持weblogic idp和sp不变?
如果这是不可能的,另一个解决方案可能是从旧方案中提取idp并将WSO2配置为SAML2 idp和OAUth2服务并将标记交换/转换反之亦然。但是必须触及所有旧的weblogic服务提供商(使用WSO2 SAML2 idp)....
感谢任何帮助;-) 干杯 汤姆
答案 0 :(得分:0)
是否可以将WSO2中的旧(weblogic)SAML2 idp定义为受信任的idp,并使用SAML2和OAuth2实现整体SSO场景 - 保持weblogic idp和sp不变?
在大多数情况下,这是可能的。 对于SAML来说,它更容易,因为它是一个非常严格定义的标准,所以在你定义正确的主题名称,主题名称格式和断言之前,你很高兴。
请注意 - 服务提供商需要更改端点配置,因为SSO / SLO端点将不同。但是我认为这是配置,而不是真正改变服务提供者应用程序
问题可能出在OAuth上。令牌服务和用户信息服务响应不是如此严格地定义(或实现)。您必须检查您的SP是否可以毫无问题地使用响应(在大多数情况下,我已经看到您需要向userinfo服务添加一些用户属性)