我正在尝试将新服务添加到现有的Okta设置中。该服务依靠SAML进行身份验证,并严格检查SAML消息。
当浏览器中已经存在Okta会话状态时,一切正常。 Okta SAML响应包含所有需要验证的必要属性,并且一切正常。
但是,当使用“干净”浏览器发起新会话时,我的服务无法正确验证Okta SAML响应。该响应有效且经过正确签名,但是缺少严格验证所必需的InResponseTo属性。
我想知道以前是否有人遇到过类似的问题?可能在Okta中存在一些隐藏设置,或者在身份验证提供程序中存在一些常见的设置错误?
答案 0 :(得分:0)
您的服务抱怨您用于启动SSO流程的步骤顺序。在所谓的服务提供商发起的SSO流程中,单击指向您的服务的链接。然后,充当SAML服务提供程序(SP)的服务将SAML身份验证请求发送到身份提供程序(Okta),身份提供程序(Okta)随后以SAML响应来响应此请求。由于身份提供者正在响应服务提供者的请求,因此SAML响应将包含InResponseTo元素。
您如何解决此问题?这全都与您的服务有关,而不是Okta。您需要确定对服务的请求的正确URL和/或格式,以使其向身份提供者发出SAML身份验证请求。
有关更多信息,请参见Okta docs