SAML 2.0 IDプロバイダーをテストに推奨できますか?
SAML 2.0サービスプロバイダーを実装しています。テスト用にSAML 2.0 IDプロバイダーをインストールする必要があります。この必要性を考えると、IDプロバイダーは理想的には無料(または試用期間がある)で、セットアップと構成が容易である必要があります。
基本的なシングルサインオンとシングルログアウトの機能を探しています。
Sun Opensso Enterpriseを試しました。価格は適切ですが、これまでのところ、構成するのは悪夢です。また、そのエラーメッセージングとログ記録には多くの課題が残されており、基本的に構成の誤りや直感に反したデフォルト設定に帰着する問題のトラブルシューティングを頻繁に行っています。
OpenSSOの設定でどのような問題がありますか? OpenSSOが最も簡単なセットアップであることがわかりました!
基本的なIDPの起動と実行に関する私のメモを以下に示します。うまくいけば、起動して実行するのに役立ちます。
マイケル
最善の(つまり、最も痛みのない)方法は...
- Glassfishを使用してください-これはOpenSSOで十分にサポートされているコンテナです-開発者プロファイルを使用して人生をさらに簡単にします-ダウンロードページに記載されているクイックセットアップ手順を使用してください
- 基本的な手順に従ってOpenSSOをデプロイします(Zipを解凍し、warファイルをデフォルトドメインにデプロイします)
私はセットアップ手順として以下を使用しました(私はOpenSSOビルド7を使用しています):
- [カスタム構成]で、[新しい構成の作成]をクリックします。
- 「パスワード」および「確認」フィールドにパスワード「adminadmin」を入力します。 Nextをクリックします。
- [サーバー設定]で、デフォルトをそのままにし(または必要に応じて編集し)、[次へ]を選択します。
- 構成データストアで、デフォルトのままにし(または必要に応じて編集し)、[次へ]を選択します。
- ユーザーデータストアで、「OpenSSOユーザーデータストア」を選択します。 Nextをクリックします。
- [サイトの構成]で[いいえ]を選択します(このインストールではロードバランサーは使用されません)。 Nextをクリックします。
- [デフォルトエージェントユーザー]で、パスワードとしてadmin123と入力し、確認済みのパスワードを入力します。 Nextをクリックします。
- 「構成の作成」をクリックします。
- 「ログインに進む」をクリックします。
- パスワード「adminadmin」を使用して「amadmin」としてログインします。
上記の説明は http://developers.Sun.com/identity/reference/techart/opensso-glassfish.html に基づいています。
これで基本が稼働しました。 /と呼ばれるユーザーの下にサブレルムを作成し、そこに1つまたは2つのアカウントを作成します。
SP=メタデータを準備します。最初からメタデータに入れすぎないようにしてください-シンプルにしてください。
GUIのデフォルトページで、ホストされたIDPの作成を選択します。これはかなり基本的なワークフローです。/usersレルムを指定し、署名にテストキーエイリアスを使用することを選択する必要があります。あなたが作成した信頼の輪は、何でもささいなことと呼ぶことができます。
ワークフローを完了すると、SPのメタデータをインポートするかどうかを尋ねられます-はいと言って、準備したメタデータファイルからインポートすることを選択します。
この段階で、ほぼ準備が整います。
次に、IDPメタデータを取得します。これを行うにはいくつかの方法があります。 " http:// servername:8080/opensso/ssoadm.jsp?cmd = export-entity "または " http:// servername:8080/opensso/saml2/jsp /exportmetadata.jsp?realm=/users "。
...セットアップはこれでほぼ完了です。
OpenSSOとの相互運用で問題が発生した場合は、OpenSSOデータディレクトリ(デフォルトでは〜/ opensso)を確認できます。その下のサブディレクトリにデバッグ情報とログ情報があります。その情報をOpenSSO Wikiと相互参照できます。OpenSSOWikiには、かなり良いトラブルシューティング情報があります。
IdPをインストールして構成する代わりに、 TestShib または OpenIdP などのホストされたテストプラットフォームを使用できます。どちらも同じように機能しますが、OpenIdPには登録が必要です。
- SAMLメタデータXMLファイルを生成します。
- SP IdPで メタデータXMLファイルをアップロードする を登録します。
- IdPをSP by downloading their metadata XML file に登録します。
samlidp.io を使用します。これは完璧であり、テストには無料です。カスタムSPのメタデータを追加するだけで、数回のクリックで独自のIdPを設定できます。これですべて機能します。
LemonLDAP :: NGを試すことができます( http://lemonldap-ng.org )
ほとんどのLinuxディストリビューション用にパッケージ化されているため、インストールとセットアップが簡単です。
Keycloak( https://www.keycloak.org/ )を使用しています。
- オープンソース
- スタンドアロンアプリケーション
- 設定が簡単
OpenAm https://backstage.forgerock.com/#!/downloads/OpenAM/OpenAM%20Enterprise#browse を使用して、Tomcatインスタンスでローカルにインストールすることをお勧めします。数時間で簡単にセットアップして起動できます。
私は長い間SAML2統合のテストに苦労しており、OpenSSOを使用していました。アプリケーションをテストするために[〜#〜] okta [〜#〜]を発見して以来 http://okta.com/ 私は振り返っていません。完璧で使いやすく、さまざまなユーザーを作成してカスタム属性をSPに送り返すこともできます。
OpenSSOは適切ではありません。はじめに、意味をなさないとんでもないキャプチャーがあります。 SSOCircleでは、カスタム属性を送信することはできません。また、SHA-256暗号化を使用することもできません。 OpenSSOは、debug機能(アプリケーションの残りの部分が十分に機能していない場合はおそらく不十分)にお金を払わない限り、エラーメッセージに関するヘルプを提供しません。