我正在尝试在MS Azure AD和位于AWS中的WebSphere v9 CF11服务器之间配置SAML。但是它没有意识到TAI的建立
我已按照此处的所有步骤操作:https://www.ibm.com/support/knowledgecenter/en/SSAW57_9.0.0/com.ibm.websphere.nd.multiplatform.doc/ae/tsec_enable_saml_sp_sso.html和此处https://www.ibm.com/support/knowledgecenter/en/SSAW57_9.0.0/com.ibm.websphere.nd.multiplatform.doc/ae/twbs_configuresamlssopartners.html
我已经在WebSphere中安装了SAMLSA应用程序,导入了我的Azure管理员提供的元数据文件,还导入了证书。我已经设置了ACSTrustAssociationInterceptor拦截器,并为服务器输入了正确的sso_1.sp.acsUrl和其他设置(我认为是这样)。
SystemOut日志显示正在加载ACSTrustAssociationInterceptor:
SECJ0121I:信任关联初始化类com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor已成功加载
但版本为空:
SECJ0122I:信任关联初始化拦截器签名:
按照上面的说明进行所有设置后,当我转到URL时,它只会显示:
错误403:身份验证失败
日志中有关于缺少cookie的错误:
SECJ0126E:信任关联在验证期间失败。异常是com.ibm.websphere.security.WebTrustAssociationFailedException:CWWSS8017E:认证错误:单点登录cookie不存在或无法验证。请登录到SAML身份提供商,然后重试。
就像从未被“拦截”过一样。只是失败。没有网络流量流向AD服务器
转到URL时,应将我重定向到MS登录名,然后返回到应用程序,但这不是
答案 0 :(得分:0)
听起来您可能缺少sso_1.sp.login.error.page属性定义。如果没有该属性,则期望用户将转到IdP来启动登录。如果您定义该属性并将其值设置为IdP的登录页面,那么您所获得的403(由于未经身份验证)将最终将您重定向到IdP,以从此处启动登录过程。
此处的“书签样式”说明中的更多信息:https://www.ibm.com/support/knowledgecenter/en/SSAW57_9.0.0/com.ibm.websphere.nd.multiplatform.doc/ae/cwbs_samlssosummary.html