Можете ли вы порекомендовать поставщика удостоверений SAML 2.0 для тестирования?

Я использую поставщика услуг SAML 2.0, и мне нужно установить поставщика удостоверений SAML 2.0 для тестирования. С учетом этой потребности поставщик удостоверений в идеале должен быть бесплатным (или иметь пробный период) и быть простым в установке и настройке.

Мне нужна базовая функция единого входа и единого выхода.

Я пробовал Sun Opensso Enterprise. Цена подходящая, но настраивать пока было кошмаром. Кроме того, его сообщения об ошибках и ведение журнала оставляют желать лучшего, и я часто устраняю проблему, которая в основном сводится к неправильной конфигурации или нелогичной настройке по умолчанию.


testing saml single-sign-on
person Steve Reed    schedule 14.07.2009    source источник
comment
Собираетесь ли вы протестировать собственный SP на соответствие установленному IdP?   -  person mavis    schedule 04.02.2014
comment
medium.com/ the-new-control-plane /   -  person rbrayb    schedule 27.11.2019

Ответы (9)


arrow_upward
22
arrow_downward

Какие проблемы возникают при настройке OpenSSO? Я обнаружил, что OpenSSO - самая простая установка!

Мои заметки о том, как подготовить и запустить базовый IDP, приведены ниже - надеюсь, они помогут вам начать работу.

Майкл

Я обнаружил, что лучший (т.е. самый безболезненный) способ - это ...

  1. Используйте Glassfish - это хорошо поддерживаемый контейнер для OpenSSO - используйте профиль разработчика, чтобы упростить себе жизнь - используйте шаги быстрой настройки, как описано на странице загрузки
  2. Разверните OpenSSO в соответствии с основными инструкциями (распакуйте zip - разверните файл войны в домен по умолчанию)

В качестве шагов настройки я использовал следующее (я использую OpenSSO build 7):

  • В разделе «Пользовательская конфигурация» нажмите «Создать новую конфигурацию».
  • Введите пароль «adminadmin» в поля «Пароль» и «Подтвердить». Нажмите "Далее.
  • В настройках сервера оставьте значения по умолчанию (или при необходимости отредактируйте) и нажмите «Далее».
  • В хранилище данных конфигурации оставьте значения по умолчанию (или отредактируйте, если необходимо) и нажмите «Далее».
  • В хранилище пользовательских данных выберите «Хранилище пользовательских данных OpenSSO». Нажмите "Далее.
  • В разделе «Конфигурация сайта» выберите «Нет» (при этой установке балансировщик нагрузки не используется). Нажмите "Далее.
  • В поле «Пользователь агента по умолчанию» введите admin123 в качестве пароля и подтвержденного пароля. Нажмите "Далее.
  • Щелкните «Создать конфигурацию».
  • Щелкните «Перейти к входу в систему».
  • Войдите в систему как «amadmin» с паролем «adminadmin».

Приведенные выше инструкции основаны на http://developers.sun.com/identity/reference/techart/opensso-glassfish.html

Теперь у вас есть основы и работают. Создайте подобласть под / вызываемыми пользователями и создайте там одну или две учетные записи.

Теперь подготовьте метаданные SP. Не добавляйте слишком много метаданных для начала - делайте это просто.

На странице графического интерфейса по умолчанию выберите создание размещенного IDP. Это довольно простой рабочий процесс. Вы должны указать свою область / users и выбрать использование псевдонима тестового ключа для подписи. Создаваемый вами круг доверия можно назвать ничтожным.

По завершении рабочего процесса вас спросят, хотите ли вы импортировать метаданные для SP - ответьте «да» и выберите импорт из подготовленного файла метаданных.

На этом этапе вы должны быть в значительной степени настроены.

Затем вы захотите получить метаданные вашего IDP. Есть несколько способов сделать это. Вы можете использовать "http://servername:8080/opensso/ssoadm.jsp?cmd=export-entity "или" http://servername:8080/opensso/saml2/jsp/exportmetadata.jsp?realm=/users ".

... и это почти все, что нужно для настройки.

Если у вас возникнут проблемы при взаимодействии с OpenSSO, вы можете посмотреть каталог данных OpenSSO (по умолчанию ~ / opensso). Там в подкаталогах есть информация об отладке и регистрации. Вы можете сделать перекрестную ссылку на эту информацию с OpenSSO Wiki, где есть неплохая информация по устранению неполадок.

person Michael van der Westhuizen    schedule 14.07.2009
comment
Я предполагаю, что мои самые большие проблемы с OpenSSO до сих пор были связаны либо с принятием моих метаданных SP, либо с моей неспособностью отследить корень сбоев аутентификации, когда они происходят. Во-первых, OpenSSO пожаловался на элементы в моих метаданных, которые должны быть в порядке, но этого не ожидает. Например, SingleLogoutService и некоторые другие метаданные организации. Я проверю журналы в ~ / opensso и вики. Спасибо за это. - person Steve Reed; 14.07.2009
comment
Привет, Стив! У вас должна быть возможность перейти на имя сервера: 8080 / amserver / Debug.jsp, чтобы увеличьте уровни отладки, если вы не находите достаточно информации в ~ / opensso. У меня тоже было немало проблем с метаданными - поэтому я предложил начать (очень) просто. Как только я понял, как должны выглядеть метаданные и конфигурации в OpenSSO, все стало иметь гораздо больший смысл. - person Michael van der Westhuizen; 14.07.2009
comment
Вы искали помощи в списке рассылки OpenSSO, Стив? Чтобы подписаться: 1. Перейдите на страницу dev.java.net/servlets/Join и зарегистрируйтесь для учетной записи java.net. 2. Перейдите к opensso.dev.java.net/servlets/ProjectMembershipRequest и запросите ' Роль наблюдателя на OpenSSO. 3. Перейдите на страницу opensso.dev.java.net/servlets/ProjectMailingListList и подпишитесь на '[email protected]'. - person metadaddy; 15.07.2009
comment
Хорошие предложения, оба. Спасибо. - person Steve Reed; 16.07.2009
comment
Проект OpenSSO стал OpenAM. Поскольку эта страница занимает относительно высокое место в нескольких поисковых запросах Google, которые я недавно выполнил, я подумал, что сделаю заметку. - person Summers Pittman; 09.12.2011
comment
OpenSSO отсутствует, но шаги, описанные выше, могут быть использованы для упомянутого OpenAM без каких-либо проблем (мне просто нужно было использовать вторую ссылку для экспорта метаданных, первая не сработала). Спасибо за отличный урок! - person xMort; 05.10.2015

arrow_upward
13
arrow_downward

Вместо установки и настройки IdP вы можете использовать размещенную тестовую платформу, такую ​​как TestShib или OpenIdP. Оба работают по одним и тем же принципам, но OpenIdP требует регистрации.

  1. Создайте XML-файл метаданных SAML.
  2. Зарегистрируйте свой SP в IdP, загрузив XML-файл метаданных.
  3. Зарегистрируйте IdP у своего SP, загрузив их XML-файл метаданных.
person Tamlyn    schedule 04.12.2013
comment
Я думаю, что это меня оооочень близко, если бы я мог просто выяснить, что использовать для идентификатора объекта в OpenIdP. - person tggagne; 28.03.2014
comment
Или, если бы я мог выяснить окончательное утверждение и обойтись без возможности сопоставить тему с пользователем Salesforce.com. - person tggagne; 28.03.2014
comment
Или вы можете использовать Centrify IDP для тестирования, зарегистрируйтесь здесь: centrify.com/cloud/ cloud-service-registration.asp; получите БЕСПЛАТНОГО арендатора, затем вы можете создать несколько пользователей, добавить общее приложение (cloud.centrify.com/vfslow/lib/docs//appref/wwhelp/wwhimpl/js/), который вы можете связать к своему SP и протестируйте его. - person Sumana Mehta; 25.04.2014
comment
OpenIdP больше не работает: Важно! OpenIdP был отключен. Его больше нельзя использовать для тестирования вашего поставщика услуг SAML. Если вы использовали его для этой цели, вам нужно будет искать альтернативы. - person RobAu; 22.09.2016

arrow_upward
8
arrow_downward

Используйте samlidp.io, он идеален и бесплатен для тестирования, вы можете настроить свой собственный IdP с помощью нескольких щелчков мышью, добавив свой собственный Метаданные SP и все, все работает.

person sitya    schedule 21.03.2017
comment
@MohammadAkbari Я не вижу недостатков в этом ответе. ОП попросил рекомендацию, и Ситья предоставил ее. - person xverges; 09.06.2017

arrow_upward
2
arrow_downward

Вы можете попробовать LemonLDAP :: NG (http://lemonldap-ng.org)

Он упакован для большинства дистрибутивов Linux, поэтому его легко установить и настроить.

person Clément OUDOT    schedule 07.04.2011

arrow_upward
2
arrow_downward

Вы можете настроить Auth0 в качестве IdP SAML. Установка проста, и доступен уровень бесплатного пользования.

person thameera    schedule 01.02.2018

arrow_upward
2
arrow_downward

Я использую Keycloak (https://www.keycloak.org/).

  • Открытый исходный код
  • Автономное приложение
  • Легко настроить
person Mr. BoFrost    schedule 13.06.2019

arrow_upward
0
arrow_downward

Я бы рекомендовал использовать OpenAm https://backstage.forgerock.com/#!/downloads/OpenAM/OpenAM%20Enterprise#browse для установки локально на экземпляре tomcat. Его довольно легко настроить и запустить за пару часов.

person Nick Prusov    schedule 16.07.2016

arrow_upward
0
arrow_downward

Я долго боролся с тестированием интеграции SAML2 и использовал OpenSSO. Поскольку я обнаружил OKTA для тестирования приложений, http://okta.com/, я не Я оглянулся. Он идеален, прост в использовании, и вы также можете создавать разных пользователей и отправлять настраиваемые атрибуты обратно в SP.

OpenSSO - это нехорошо. Для начала у вас есть эти нелепые капчи, которые даже не имеют смысла. SSOCircle не позволяет отправлять настраиваемые атрибуты, он также не позволяет использовать шифрование SHA-256, что я видел. OpenSSO не поможет вам в сообщениях об ошибках, если вы не заплатите за их функцию отладки (что, вероятно, плохо, учитывая, что остальная часть приложения работает плохо).

person nuvio    schedule 03.11.2016

arrow_upward
0
arrow_downward

Взгляните на этот ответ.

В общем, samling - это бессерверный IdP SAML для целей тестирования любого SAML. Конечная точка SP. Он поддерживает AuthnRequest и LogoutRequest. Он запускается исключительно в браузере для имитации ответов SAML, возвращаемых поставщиком идентификационной информации SAML - без регистрации, без серверов, только в браузере, что позволяет вам контролировать многие аспекты ответа - от успеха до различных сбоев.

person fujifish    schedule 07.11.2017