我试图配置openam作为身份提供程序来测试我的SAML基于服务提供商的应用程序。
我搜索了很多,看到了openam的文档。有很多可能我不需要openam支持的东西的时刻。我不想看完整份文件,那会花很多时间花时间阅读我现在不想测试的东西我甚至看到章节9"管理SAML 2.0 SSO"http://docs.forgerock.org/en/openam/10.0.0/admin-guide/index/index.html但是在此之前需要配置很多东西。
是否有任何快速入门指南来测试它作为小型IdP?
编辑不急不急,详细也行。但我希望OpenAm作为身份提供者。SP是我们在Jetty上开发的一个应用程序。还要告诉我我需要在SP上做什么改变,比如应用程序的哪些url应该响应什么
你的问题真的没有放之四海而皆准的答案。设置SAMLv2 Federation很大程度上取决于实际的SP实现,有些SP可以使用SAML元数据,有些则不能。在两个OpenAM实例之间设置联邦以供参考的最简单方法是:
- 在node1上创建托管IdP向导
- 在node2上创建托管SP向导
- 在两个节点上删除持久的NameID-Format,因此两者都将在列表的顶部拥有transient
- 在node1上注册远程SP向导,URL: node2/openam/saml2/jsp/exportmetadata.jsp
- 在node2上注册远程IdP向导,URL: node1/openam/saml2/jsp/exportmetadata.jsp
- 在node2上的Hosted SP设置中将瞬时用户设置为"anonymous"
- /openam/spssoinit?metaAlias=/sp&idpEntityID=node1_entityid on node2
- /openam/idpssoinit?metaAlias=/idp&spEntityID= node1上的node2_entityid
我使用了默认的metaAlias值,但这些值应该在控制台页面上可见。同样,通过下载元数据,您可以看到给定实体的实际实体id。
基于此,您现在应该看到,使用OpenAM IdP,您至少可以使用idpssoinit URL(如果您的SP支持非请求响应)来测试SAML支持,但从另一个角度来看,它在很大程度上取决于您的SP实现,您需要如何实际触发SAML身份验证。
这似乎是一个简单的设置。