c# - 使用 ITfoxtec.Identity.Saml2 登录用户
问题描述
我正在尝试使用 IdentityServer4 和 ITfoxtec.Identity.Saml2 库实现 SAML2.0 身份验证。
第一步是通过 LDAP 连接登录,这部分运行良好,我得到了用户声明。
下一步是使用 AD FS 集成登录
我主要遵循本教程
https://developer.okta.com/blog/2020/10/23/how-to-authenticate-with-saml-in-aspnet-core-and-csharp
Saml 配置代码如下
services.Configure<Saml2Configuration>(saml2Configuration =>
{
saml2Configuration.AllowedAudienceUris.Add(saml2Configuration.Issuer);
var entityDescriptor = new EntityDescriptor();
entityDescriptor.ReadIdPSsoDescriptorFromUrl(new Uri(Configuration["Saml2:IdPMetadata"]));
if (entityDescriptor.IdPSsoDescriptor != null)
{
saml2Configuration.SingleSignOnDestination = entityDescriptor.IdPSsoDescriptor.SingleSignOnServices.First().Location;
saml2Configuration.SignatureValidationCertificates.AddRange(entityDescriptor.IdPSsoDescriptor.SigningCertificates);
}
else
{
throw new Exception("IdPSsoDescriptor not loaded from metadata.");
}
});
services.AddSaml2();
在服务器重定向之后和显示 Idp 登录页面之前,我有一个错误“证书在应用程序端没有正确配置”
这是我第一次处理 SAML 协议。任何帮助表示赞赏。
编辑:错误在 AD FS 端
解决方案
有关详细信息,请参阅 ITfoxtec.Identity.Saml2文档和ASP.NET Core 示例。
我怀疑你在哪里看到错误。它是在 IdentityServer4 应用程序中还是在 AD FS 中?
您显示的配置读取 AD FS 元数据并设置 IdP 配置。您还需要加载依赖方配置。
services.Configure<Saml2Configuration>(Configuration.GetSection("Saml2"));
并设置依赖方签名证书,例如,像这样
saml2Configuration.SigningCertificate = CertificateUtil.Load(AppEnvironment.MapToPhysicalFilePath(
Configuration["Saml2:SigningCertificateFile"]),
一起配置
services.Configure<Saml2Configuration>(Configuration.GetSection("Saml2"));
services.Configure<Saml2Configuration>(saml2Configuration =>
{
saml2Configuration.SigningCertificate = CertificateUtil.Load(AppEnvironment.MapToPhysicalFilePath(
Configuration["Saml2:SigningCertificateFile"]), Configuration["Saml2:SigningCertificatePassword"]);
saml2Configuration.AllowedAudienceUris.Add(saml2Configuration.Issuer);
var entityDescriptor = new EntityDescriptor();
entityDescriptor.ReadIdPSsoDescriptorFromUrl(new Uri(Configuration["Saml2:IdPMetadata"]));
if (entityDescriptor.IdPSsoDescriptor != null)
{
saml2Configuration.SingleSignOnDestination = entityDescriptor.IdPSsoDescriptor.SingleSignOnServices.First().Location;
saml2Configuration.SingleLogoutDestination = entityDescriptor.IdPSsoDescriptor.SingleLogoutServices.First().Location;
saml2Configuration.SignatureValidationCertificates.AddRange(entityDescriptor.IdPSsoDescriptor.SigningCertificates);
}
else
{
throw new Exception("IdPSsoDescriptor not loaded from metadata.");
}
});
services.AddSaml2();
评论
为了解决像您这样的情况,我创建了支持 OpenID Connect 并且可以使用 SAML 2.0 连接到 AD FS 的FoxID 。FoxIDs 处理 OpenID Connect 和 SAML 2.0 之间的转换。实际上,FoxID 也使用 ITfoxtec.Identity.Saml2 库。
推荐阅读
- pandas - 如何 - 将 python 生成器转换为 pandas 数据框
- python - 在 sqlalchemy 中删除所有子对象后删除父对象
- javascript - react.js:从另一个组件调用函数
- sql-server - ADODB 错误 800a0bb9;位还是整数?
- spring-boot - 在 Spring 中使用微服务架构
- javascript - 在 gojs 图表中格式化和对齐文本
- html - 使用 Sass CSS 和 FlexBox 垂直堆叠转换后的文本
- python - 使用python的windows和mac应用程序
- c# - JSON Web 令牌 - 如何识别用户?
- ruby-on-rails - 在 Active Admin Rails 中创建新项目时过滤下拉列表