Можете ли вы порекомендовать поставщика удостоверений SAML 2.0 для тестирования?
https://stackoverflow.com/questions/1125915
-
13-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я внедряю поставщика услуг SAML 2.0, и мне нужно установить поставщика удостоверений SAML 2.0 для тестирования.Учитывая эту потребность, поставщик удостоверений в идеале должен быть бесплатным (или иметь пробный период) и быть простым в настройке.
Я ищу базовые функции единого входа и единого выхода из системы.
Я пробовал Sun Opensso Enterprise.Цена подходящая, но до сих пор настройка была сущим кошмаром.Кроме того, его передача сообщений об ошибках и ведение журнала оставляют желать лучшего, и я часто устраняю проблему, которая в основном сводится к неправильной конфигурации или нелогичным настройкам по умолчанию.
Решение
С какими проблемами вы сталкиваетесь при настройке OpenSSO?Я обнаружил, что OpenSSO - самая простая настройка!
Мои заметки о запуске базового IDP приведены ниже - надеюсь, они помогут вам начать работу.
Майкл
Я обнаружил, что лучший (т.е.самый безболезненный) способ есть...
- Используйте Glassfish - это хорошо поддерживаемый контейнер для OpenSSO - используйте профиль разработчика, чтобы сделать вашу жизнь еще проще - выполните шаги быстрой настройки, описанные на странице загрузки
- Разверните OpenSSO в соответствии с основными инструкциями (распакуйте zip - файл и разверните war-файл в домене по умолчанию).
Я использовал следующее в качестве своих шагов настройки (я использую OpenSSO build 7).:
- В разделе "Пользовательская конфигурация" нажмите "Создать новую конфигурацию".
- Введите пароль "adminadmin" в полях Пароль и Подтверждение.Нажмите кнопку Далее.
- В настройках сервера оставьте значения по умолчанию в покое (или отредактируйте при необходимости) и выберите Далее.
- В хранилище данных конфигурации оставьте значения по умолчанию в покое (или отредактируйте при необходимости) и выберите Далее.
- В хранилище пользовательских данных выберите "Хранилище пользовательских данных OpenSSO".Нажмите кнопку Далее.
- В разделе Конфигурация сайта выберите Нет (при этой установке не будет использоваться балансировщик нагрузки).Нажмите кнопку Далее.
- В поле Пользователь агента по умолчанию введите admin123 в качестве пароля и подтвержденный пароль.Нажмите кнопку Далее.
- Нажмите "Создать конфигурацию".
- Нажмите "Перейти к входу в систему".
- Войдите в систему под именем "amadmin" с паролем "adminadmin".
Приведенные выше инструкции основаны на http://developers.sun.com/identity/reference/techart/opensso-glassfish.html
Теперь у вас есть все необходимое для работы.Создайте подраздел в разделе / called users и создайте там одну или две учетные записи.
Теперь подготовьте свои метаданные SP.Для начала не вкладывайте слишком много в свои метаданные - сделайте их простыми.
На странице по умолчанию графического интерфейса выберите создать размещенный IDP.Это довольно простой рабочий процесс.Вы должны указать свою область / users и выбрать использование псевдонима тестового ключа для подписи.Круг доверия, который вы создаете, можно назвать мелким, как угодно.
Когда вы завершите рабочий процесс, вас спросят, хотите ли вы импортировать метаданные для SP - скажите "да" и выберите импорт из вашего подготовленного файла метаданных.
На этом этапе вы должны быть в значительной степени настроены.
Затем вы захотите получить свои метаданные IDP.Есть несколько способов сделать это.Вы могли бы использовать "http://servername:8080/opensso/ssoadm.jsp?cmd=export-entity" или "http://servername:8080/opensso/saml2/jsp/exportmetadata.jsp?realm=/users".
...и это в значительной степени все для настройки.
Если у вас возникнут проблемы при взаимодействии с OpenSSO, вы можете посмотреть в каталоге данных OpenSSO (по умолчанию ~/opensso).Там есть информация об отладке и протоколировании в соответствующих подкаталогах.Вы можете сделать перекрестную ссылку на эту информацию в OpenSSO Wiki, где есть довольно хорошая информация по устранению неполадок.
Другие советы
Вместо установки и настройки IdP вы можете использовать размещенную тестовую платформу, такую как Тестшиб или OpenIdP ( Открытый IDP ).Оба работают по одному и тому же принципу, но OpenIdP требует от вас регистрации.
- Создайте свой XML-файл метаданных SAML.
- Зарегистрируйте свое ИП в IdP путем загрузка вашего XML-файла метаданных.
- Зарегистрируйте ВПЛ в вашем ИП путем загрузка их XML-файла метаданных.
Использование samlidp.io, это идеально и бесплатно для тестирования, вы можете настроить свой собственный IdP несколькими щелчками мыши, добавив метаданные вашего пользовательского SP, и все, это работает.
Вы можете попробовать LemonLDAP::NG (http://lemonldap-ng.org)
Он поставляется для большинства дистрибутивов Linux, поэтому прост в установке и настройке.
Вы можете настроить Auth0 ( Аутентификация ) как вынужденный переселенец SAML.Установка является прямолинейным и есть доступный бесплатный уровень.
Я использую Keycloak (https://www.keycloak.org/).
- Открытый исходный код
- Автономное приложение
- Простота настройки
Я бы рекомендовал использовать OpenAM https://backstage.forgerock.com /#!/загрузки/OpenAM/OpenAM%20entrise#обзор для установки локально на экземпляре tomcat.Его довольно легко настроить и запустить в эксплуатацию в течение пары часов.
Я долгое время боролся с тестированием интеграции SAML2 и использовал OpenSSO.С тех пор, как я обнаружил OKTA для тестирования приложений http://okta.com/ Я не оглядывался назад.Он идеален, прост в использовании, и вы также можете создавать разных пользователей и отправлять пользовательские атрибуты обратно в SP.
ОпенССО это нехорошо.Для начала у вас есть эти нелепые капчи, которые даже не имеют смысла.SSOCircle не позволяет вам отправлять пользовательские атрибуты, он также не позволяет вам использовать шифрование SHA-256, насколько я видел.OpenSSO не предоставляет вам никакой помощи по поводу сообщений об ошибках, если вы не заплатите за их отлаживать функциональность (которая, вероятно, оставляет желать лучшего, учитывая, что остальная часть приложения работает плохо).
Взгляните на этот ответ.
В ореховой скорлупе, сэмлинг является бессерверным SAML IdP для целей тестирования любой конечной точки SAML SP.Он поддерживает AuthnRequest и LogoutRequest.Он запускается исключительно в браузере для имитации ответов SAML, возвращаемых от SAML IdP - без регистрации, без серверов, просто в браузере, позволяя вам контролировать многие аспекты ответа - от успешного выполнения до различных сбоев.
