問題タブ [onelogin]

ruby-saml gem と提供されたサンプル プログラムを使用して、OneLogin SAML Test Connector をシミュレートされた IDP として使用しています。それはうまくいっています。

私の実際のアプリでは、私たちは SP であり、複数の ID プロバイダーがあり、それぞれにアプリへの SSO が必要な複数のユーザーがいます。

サンプル アプリでは、AuthnRequest がユーザーの nameID (電子メール アドレス) をどこにも定義していませんが、代わりに数値 ID の形式で IDP URL に追加されていることがわかりました。たとえばhttps://app.onelogin.com/saml/metadata/5551212、app.onelogin.com は IDP を識別し、5551212 は「ユーザー」を識別します。onelogin が IDP の場合、「ユーザー」は実際にはアプリ ID ですが、この場合は、アプリではなく実際のユーザーを識別したいと考えています。

1. AuthnRequest に nameID 要素が含まれていないのは正しいですか?
2. 数値 ID を使用して IDP の URL でユーザーを識別する必要がありますか? 数値 ID は、当事者間でオフラインで共有する必要があり、開始 URL で送信する必要があります。私がこのアプローチを気に入っているのは、URL 内の識別情報 (電子メール アドレスなど) が公開されないためです。
3. 電子メール アドレスを Base64 でエンコードし、それを URL に追加して、ユーザーを特定する必要がありますか? これは安全性が低くなりますが、送信は常に SSL で暗号化されるため、問題ない可能性があります。また、オフライン ハンドシェイクと数値 ID の共有を回避します。

Salesforce と統合するための Web サービスを開発しており、サービスに独自のユーザー登録/ログイン メカニズムがあります。

未登録ユーザー向けに OAuth と SAML ログインの両方を実装したいと考えています。

現在、ユーザーがユーザーの Salesforce リソースにアクセスするためにサービスを承認するために利用できる OAuth を開発しました。承認後、1 つのマッピング ユーザー アカウントがサービスに自動的に登録されます。その後、ユーザーはログイン ユーザーとして私のサービスにアクセスでき、私のサービスは OAuth で取得したユーザーの「アクセス トークン」を使用して、Salesforce 内のユーザーのリソースにアクセスできます。

しかし、SAMLでは、将来のリソースアクセスのために所有できるSAMLの「アクセストークン」のような部分があれば、本当に混乱していますか? Salesforce のドキュメントには、「Security Assertion Markup Language (SAML) を使用したフェデレーション認証を使用すると、関連付けられているが無関係な Web サービス間で認証および承認データを送信できます。これにより、クライアント アプリケーションから Salesforce にサインオンできます。」と記載されています。

私のシナリオでは、SP は Salesforce であり、IdP は OneLogin である可能性があり、私のサービスはクライアント アプリケーションの役割を果たします。OAuth で行ったのと同じメカニズムを実現するために SAML をどうすればよいかよくわからないため、詳細を説明できず申し訳ありません。同じ問題を抱えている人、または同じように問題を解決した人はいますか? ありがとう。

PHP で記述された onelogin API への単純な curl 要求があります。リクエストは端末からのパラメーターで正常に機能し、ユーザーにログインできますが、サーバーで実行する PHP バージョンはアクセス トークンを生成しますが、GET または POST リクエストを試行すると 401 エラーが発生します。あらゆる種類のcurlパラメーターを試しました。HTML フォームは、ランプ スタックでホストされているこの php ページに送信されます。動作しないようです。以下は、単純な GET リクエストを含む php スクリプトです。これについて何か助けていただければ幸いです：

?>

onelogin REST API を使用してユーザーをログインさせています: https://developers.onelogin.com/api-docs/1/samples/login-user-via-api。

すべての手順を正常に実行して、問題なくセッション トークンを生成しました。

ドキュメントには、セッショントークンを次の URL に投稿するように記載されています: https://admin.us.onelogin.com/session_via_api_token

ただし、セッション トークンを使用してその URL に投稿すると、onelogin のサインオン ページにリダイレクトされるだけです。

投稿用の c# コードは次のとおりです。変数に有効なセッション トークンがあります: session_token:

IdP 証明書のフィンガープリントのみを使用して Onelogin SAML PHP ツールキットを構成できるかどうかを知りたいですか、それとも完全な X.509 証明書が必要ですか?

前もって感謝します

Onelogin ヘルプ ページ https://support.onelogin.com/hc/en-us/articles/201173604-Configuring-SAML-for-Drupalで詳しく説明されているように、Drupal Onelogin モジュール d7oneloginsaml2v2.2.4.zip の 2 つのインスタンスを構成しました。

これは Drupal 7 の 2 つの新規インストールであり、どちらの場合もエラーが発生しました。

注意: 未定義の定数 onelogin_saml_password_tab_disabled の使用 - onelogin_saml_menu_alter() で 'onelogin_saml_password_tab_disabled' を仮定しました (/etc/drupal7/all/modules/contrib/onelogin_saml/onelogin_saml.module の 81 行目)。

このエラーは、モジュールが認証を行うのを妨げるようには見えないことに注意してください。

このエラーが表示される理由はありますか? モジュールを有効にする前に設定する必要があるものはありますか?

私はプログラマーではないので、これは開発者にとっては明らかなことかもしれません。

ありがとう

ポール・C