我在Keycloak中创建了一个SAML身份提供程序。单一登录网址是https://[URL]/adfs/ls,如FederationMetadata.xml中所述。
如果我现在正在使用Keycloak-User-Login,我会看到一个链接,该链接将重定向到单个登录页面,但是此后出现错误,因为我没有指定任何查询参数,例如{ {1}}或wa=signin1.0或whr=https:\\foo\adfs\services\trust
如果我将这个参数正确地包含在signle登录网址中,则可以登录,但是keycloak无法识别发生了什么。
在我看来,配置为单点登录URL的URL无任何作用,而正如我在Keycloak中配置的身份提供程序一样,它是无用的。
有人可以帮我一些指点,以加深我对AD FS和密钥斗篷之间的交互以及它们如何协同工作的了解吗?
答案 0 :(得分:1)
我最近在一个项目中工作,我们设置了KeyCloak充当ADFS IdP的SP。
只有在设置以下设置后,我们才能使SAML请求正确处理:
IdP URL:${IDP_URL}/adfs/ls/
NameID策略格式:persistent
WantAuthnRequestsSigned:true
WantAssertionsSigned:true
SignatureAlgorithm:RSA_SHA256
SAMLSignatureKeyName:CERT_SUBJECT
除了在KeyCloak(作为SP)中更新NameID策略外,我们还必须在IdP端进行自定义设置,以确保将NameID以persistent格式发送回去。