问题[single-sign-on](server)

我有一个使用 SSO 连接到 Microsoft Active Directory 的应用程序。因此，基本上第三方应用程序中的用户使用 SSO 向 Microsoft 365 进行身份验证，但是我们希望在第三方应用程序中的用户从我们的 Active Directory 中删除时删除该用户。

这可能吗？我们在哪里可以找到一些文档？

Gravitee 管理器可以配置 keycloak 身份验证，如此处所述。

他们在他们的文档中声明，角色映射可以在他们的 gravitee.yml 配置中解决：

security:
  providers:
    - type: oidc
      roleMapping:
        - condition: "{#jsonPath(#profile, '$.job_id') != 'API_MANAGER'}"
          roles:
            - "PORTAL:PARTNER"
            - "MANAGEMENT:API_CONSUMER"

如何正确映射#profile jonPath？我尝试使用 java 异常进行下一个 SpEl 配置：

"{#jsonPath(#profile, 'gravitee-admin' in '$.realm_access.roles')}"

我正在寻找有关如何将 Azure“IAM”配置为信任外部 IdP/身份验证服务器的指针……我试图找到有关 Azure 文档的方法……这并不容易。帮助将不胜感激...

更多上下文：

我必须解决的挑战应该是“简单的”：我需要使用 3rd 方身份验证/MFA 解决方案来管理对 Azure“云”控制台的访问，控制哪些用户访问控制台等。

所以我的第一个想法是将 Azure 控制台/IAM 配置为使用外部IdP 进行用户访问/SSO ... 现在，查看文档，我可以看到很多关于如何使用 Azure AD 充当 IdP 的信息其他系统，但不是关于如何充当外部 IDP 的 SP。此外，我发现 Azure AD 的所有不同“风味”似乎都有些令人困惑......

我能找到的越近是这样的：https : //docs.microsoft.com/en-us/azure/active-directory/b2b/direct-federation，但我不确定这是否是要遵循的方法...

还有其他文章，如https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-saml-idp似乎适用于使用 SAML IDP 访问Office 或其他 MS 服务——但不是针对 Azure“租户”本身？

任何提示都超过赞赏?！

（编辑：为了清楚起见，对语法和消息进行了一些清理）

你好

我在IT部门。为一个小慈善机构。

我们使用 Facebook 作为向当地社区宣传活动的一种方式。我们的（少数）志愿者在我们的 365 中拥有帐户，并使用它来登录所有内容。

我们已经将基于 AzureAD 密码的 SSO 设置为正常的 Facebook 登录，这与 azure 安全登录扩展一起工作正常——除非用户已经登录。然后，登录页面 URL 重定向到用户的个人 Facebook页。

我的问题：有没有办法确保用户使用 SSO 登录，而不是使用他们的个人帐户。（通过强制现有用户注销，或绕过重定向到用户帐户）

这只能通过一个 URL 来完成......

谢谢

在解压并启动 keycloak 以侦听 127.0.0.1 后，我将 nginx 配置为可通过 https 从公开可用域访问的反向代理。

这是 nginx 配置：

http
{
    server_tokens off;

    upstream keycloak { ip_hash; server 127.0.0.1:8080; }

    server
    {   
        server_name name.domain.tld;
        listen 443 ssl http2; # managed by Certbot
        ssl_certificate /path/to/cert; # managed by Certbot
        ssl_certificate_key /path/to/key; # managed by Certbot
        include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
        ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

        location /
        {   
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            add_header Access-Control-Allow-Origin *;
            proxy_pass http://keycloak;
        }
    }


    server
    {   
        server_name name.domain.tld;
        listen 80;
        location / { return 301 https://$server_name; }
    }

}

keycloak 目录中的任何文件都没有任何更改。

Keycloak 是可访问的，但是当导航到登录页面时，由于来自“/auth/js/keycloak.js?version=df45z”的混合内容 javascript，我遇到了一个空白页面。

这可以通过禁用浏览器对混合内容的保护来暂时解决，但是这将使我进入功能失调的登录页面，并给出以下错误消息：“我们很抱歉...无效参数：redirect_uri”。

此外，从“/auth/realms/master/protocol/openid-connect/auth?client_id=security-admin-console&redirect_uri=https%3A%2F%2Fname.domain.tld%2Fauth%2Fadmin%2Fmaster% 2Fconsole%2F&state=5abb646f-d1c8-49ef-8ae1-9358bfc50d6d&response_mode=fragment&response_type=code&scope=openid&nonce=525b593c-07ab-4afa-8ca0-bd64499061eb"。

（希望它的起源有任何价值）

与此问题相关的先前问题仅建议添加 proxy_set_header 指令，这避免了您在访问 keycloaks 网页时看到的初始仪表板的空白屏幕，但对后者提到的问题没有帮助。

如果我错过了一些琐碎的事情，请考虑到我对这个主题很陌生。

非常感谢任何解决此行为的建议。

我们第一次尝试安装 Shibboleth，当在顶级域上为网站应用单点登录时，我们一切正常，但不是在子目录下。

这是我们完美运行的 Apache 虚拟主机配置文件：

  <VirtualHost *:443>

    ... some other settings
    <Location />
        AuthType shibboleth
        Require shibboleth
        ShibRequireSession On
        Order allow,deny
        Allow from all
    </Location>

</VirtualHost>

使用此配置，我们可以这样做：

情景 A

1. 在https://myawesomewebsite.com/secure我的网络浏览器中访问
2. 我的网络浏览器将我重定向到我的单点登录服务，网址为https://somesinglesignon.com/authenticate
3. 我输入我的用户名和密码，https://somesinglesignon.com/authenticate然后按提交
4. 服务器把我送回https://myawesomewebsite.com/secure

上面的一切都很完美。

现在我要修改我的虚拟主机文件，使其<Location />变为<Location /secure>. 所以我的虚拟主机文件现在看起来像这样：

<VirtualHost *:443>

    ... some other settings
    <Location /secure>
        AuthType shibboleth
        Require shibboleth
        ShibRequireSession On
        Order allow,deny
        Allow from all
    </Location>

</VirtualHost>

现在，当我尝试重复步骤 1 到 4 时，我得到了这个：

情景 B

1. 在https://myawesomewebsite.com/secure我的网络浏览器中访问
2. 我的网络浏览器将我重定向到我的单点登录服务，网址为https://somesinglesignon.com/authenticate
3. 我输入我的用户名和密码，https://somesinglesignon.com/authenticate然后按提交
4. 服务器把我送回https://myawesomewebsite.com/Shibboleth.sso/SAML2/POST

为什么第 4 步方案 A 与方案 B 中的第 4 步不同？如何使 A.4 与 B.4 相同？

我已针对 Azure 控制台中的新应用配置 SAML SSO。我已经证明它使用 simplesamlPHP 进行身份验证。我正在尝试添加/调整使用 SAML 令牌传回的属性。

在 Azure Active Directory 控制台 SimpleSAMLPHP 中测试应用程序确认身份验证

该文档（和其他几个来源）说只需单击“查看和编辑所有其他用户属性” https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-saml-索赔定制

但是我一辈子都看不到这个选项在控制台中的位置，有人可以给我看一张在哪里访问我的应用程序属性的屏幕截图吗？

应用程序上没有自定义属性选项

我正在寻找将 ADFS 集成为 SAML2 服务提供商的 IDP 的方法。我已经为 SAML2 提供者配置了验证证书等。我们使用“添加依赖方信任向导”来配置 ADFS 的 SAML2 SP 的详细信息。

但我不确定这里的其余工作流程。感谢是否有人可以指导我写一篇好文章。

我试图配置ADFS为工作Claim Provider（我想identity provider在这种情况下是 AD）。

只是为了简单的测试，我在机器上尝试了以下操作windows server 2016：

1）设置AD和域= t1.testdom（其工作原因我实际上能够使用域登录）

2）设置DNS。为 adfs 添加了主机 (A)fs.t1.testdom

3）自签名证书（https://technet.microsoft.com/library/hh848633）：

powershell> New-SelfSignedCertificate -DnsName "*.t1.testdom"

4）设置ADFS。

服务器名称设置为fs.t1.testdom

服务>身份验证方法启用为form authentication

5) 还通过 powershell 修复了 SPN，以确保所有需要的 SPN 都存在并提供给正确的用户帐户，并且没有找到重复项

--

但是，当我尝试通过浏览器访问登录页面时https://fs.t1.testdom/adfs/ls出现错误。服务器管理器上的日志显示以下内容：

`There are no registered protocol handlers on path /adfs/ls to process the incoming request`

那么有没有办法至少到达登录屏幕？所以我可以继续下一个错误。

这是我在/ls屏幕上看到的：

我遵循了几个类似这样的教程：https ://technet.microsoft.com/en-us/library/gg188595.aspx试图设置我的本地 ADFS 服务器以向我的经过身份验证的应用程序提供电子邮件声明。

但是，我从经过身份验证的应用程序收到的唯一声明如下：

http://www.w3.org/2001/XMLSchema#string

http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows

http://www.w3.org/2001/XMLSchema#dateTime

我正在尝试做的是将我们的 adfs 服务器设置为 Idp，我们的本地应用程序可以将用户定向到它，他们可以在需要时登录，然后应用程序将验证身份验证并阅读电子邮件声明以了解谁用户是。