我正在尝试在 keycloak 中实现 SAML 的单点注销,但文档没有正确提及这一点并且令人困惑。我正在寻找有关如何实施它的确切步骤。到目前为止,我所做的是:
生成注销请求负载,base64编码,url编码,作为参数发送到注销url。假设域名为 Abc
http://auth-server/auth/realms/Abc/protocol/saml?SAMLRequest={encodedSAMLRequest}
saml 负载是
<samlp:LogoutRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="random uuid" Version="2.0" IssueInstant="2021-02-09T06:53:26Z" Destination="ip-address:8443/auth/realms/Abc/protocol/saml">
<saml:Issuer>https://ip-address:8443/auth/realms/Abc</saml:Issuer>
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user-email@abc.com</saml:NameID>
</samlp:LogoutRequest>
但是,在发送此消息时,我收到 400 错误消息,提示“未知登录请求者” (虽然我想退出)
站点 here 表示请求有效。也许我缺少一些额外的参数或什么?我还需要一种确切的发送方式。我必须使用 Scala。提前致谢!
答案 0 :(得分:1)
我认为您的发行人可能有误。 看起来您的发行者是 Keycloak URI,但它应该是代表您的应用程序(服务提供商)的 URI。与你在 Keycloak admin gui 中配置的 SAML 客户端的客户端 ID 字段相同