問題タブ [saml]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
4 に答える
4771 参照

security - MakeCertツールで作成された証明書を本番環境で使用するのが悪いのはなぜですか?

私は現在、CA証明書とそのCA証明書の子証明書をいくつか作成したプロジェクトに取り組んでいます。証明書は、SAMLV2セットアップでサーバー間の通信を保護するために使用されるため、IDプロバイダー用の証明書とサービスプロバイダー用の証明書を用意します。ユーザー/ブラウザーは証明書を検証しないため、カスタムCAを信頼する必要があるのはサーバーのみです。私の証明書ツリーは次のようになります。

  • CustomRootCACert
    • CustomIdentityProviderCert
    • CustomServiceProviderCert

今では、自家製の証明書を本番環境で使用するのは悪いと多くの人が言っています。しかし、私が理由を尋ねると、人々は通常、セキュリティについて何かをつぶやくだけで、詳細には決して入りません。自分の証明書を本番環境で使用しない技術的な理由はありますか?何も考えられません...もちろん、ルート証明書の制御を失うと、だれでもあらゆる種類の証明書の作成を開始できることに気付きます。ただし、この場合、サーバーに証明書をインストールし、それらを使用するようにsamlアプリケーションを構成する必要があります。そうして初めて、彼らは私のアプリケーションへの偽のsamlリクエストとレスポンスを生成し始めることができました。

これが唯一の問題である場合、このソリューション(本番環境で自家製の証明書を使用)は、現在のログイン設定よりも優れています。

0 投票する
5 に答える
4571 参照

java - WS-Trustを使用したAxis2とのWCF相互運用

STSから発行されたSAMLトークンを使用して、WCFとJavaが相互に通信できるようにしようとしています。双方が標準、WS-Security、WS-Trust、WS-Policyなどに準拠しているという事実にもかかわらず、それらは互いに通信していないようであり、どちらか一方が不可解な例外をスローするか、セキュリティヘッダーを無視します。

.NET 3.5、MS側でWCFフェデレーションバインディング、Java側でAxis2 / Rampart/Rahasを使用しています。

誰かがこの仕事をすることができたことがありますか?

0 投票する
3 に答える
49849 参照

java - SAMLSSOを実装する方法

SAML SSOは通常どのように実装されますか?

Google AppsでのSAMLの使用とSAMLに関するウィキペディアのエントリについてこれを読みました(nbは廃止されました) 。

ウィキペディアのエントリでは、SAMLRequestとSAMLResponseの詳細を含むフォームでの応答について説明しています。これは、ユーザーがシングルサインオンを続行するために、フォームを物理的に送信する必要があることを意味しますか?

グーグルのエントリは、リダイレクトの使用について話しますが、それは私にはもっと見えないようです。ただし、ユーザーが送信する必要のある応答にフォームを使用する方法についても説明します(ただし、JavaScriptを使用してフォームを自動的に送信する方法についても説明します)。

これはこれを行うための標準的な方法ですか?フォームの送信にリダイレクトとJavaScriptを使用していますか?

WindowsドメインとJ2EEWebアプリケーションの間にSSOを実装する方法について、他の優れたリソースを知っている人はいますか。Webアプリケーションは別のネットワーク/ドメイン上にあります。クライアントがCASiteminder(SAMLを使用)を使用したいと考えています。

0 投票する
5 に答える
1341 参照

java - XACMLAPIの設計

現在、XACML仕様は要求/応答のプロトコルを定義していますが、エンタープライズアプリケーションに統合する方法については解釈に任されています。一連の一般的なAPIを中心に開発/標準化を試みる新しいオープンソースプロジェクトが作成されない限り、XACMLの価値は実現されないと思います。

XACMLに精通している人のために、そのようなプロジェクトの作成に対する最初の反応、彼らが貢献する意思があるかどうか、XACMLAPIがどのようになると信じているかを理解したいと思います。

0 投票する
2 に答える
1703 参照

security - Browser/POST および Browser/Artifact SAML プロファイル用の便利なアプリケーション

顧客環境で Web SSO を証明する技術として SAML 1.1 の使用を提案しているのですが、興味深い質問がありました。

どのシナリオのブラウザ/POST プロファイルが適切で、どのシナリオのブラウザ/SAML のアーティファクト プロファイルが適切ですか?

実際、SAML 1.1 の仕様では、両方のブラウザ プロファイルについて、最善または最適なシナリオについては言及されていません。

おそらく、それぞれのセキュリティ上の脅威を使用して、最良のものを選択できます. 私のビジョンでは、これまでのところ、どちらもどのシナリオにも等しく適用できます。

*注意: このソリューションは、Weblogic Server 10.0 とその SAML 1.1 へのサポートを使用します。

0 投票する
3 に答える
3183 参照

wcf - SAML アサーション コンシューマー サービス (ACS) - 実装に関する提案

個別にログインせずに当社の Web サイトにアクセスできるように、パートナー企業に SSO を提供することを検討しています。パートナー企業は、他のパートナーと同様にイントラネット内で既に SSO を実装しています。SAML トークンを受信して​​、それらが有効であることを確認するだけで済みます (Browser/Post または Browser/Artifact プロファイルのいずれかを使用できます)。ドメイン ユーザーに SSO を実装する必要はありません。

質問: サード パーティによって発行されたこれらのトークンを受信して​​処理できるサービス (WCF を使用して) を実装する価値はありますか? または、ベンダー アプリケーション (SiteMinder、PingFederate など) を実装する必要がありますか?このフェデレーションで依拠当事者として行動することができます。

0 投票する
1 に答える
1585 参照

dns - SAML認証が機能しないIMAP認証でGmailドメインアカウントを使用する

gmailアカウントとインターフェースして検索などを可能にするpythonスクリプトがあります。これは通常のメール(@gmail.comで終わる)では機能しますが、ドメインアカウントでは機能しません。この場合、認証は SAML 経由で行われ、Gmail ドメイン アカウントで IMAP が有効になっています...

IMAP の設定方法に関する Google の指示は、@gmail.com アカウントでのみ機能するようです...

user, user@admin と host: imap.gmail.com を使用して IMAP への認証を試みましたが、ドメインの電子メールと認証が機能していません....

  1. ドメイン アカウント用の Gmail の特定の「ホスト」はありますか?
  2. Gmail ドメイン アカウントで imap を取得する他の方法はありますか?

ありがとう、ロドルフォ

0 投票する
1 に答える
12359 参照

weblogic - SAML 2 SSO と ID プロバイダを使用するように WebLogic 10.3 Web アプリケーションを構成するにはどうすればよいですか?

いくつかの Web アプリケーションをすべて WebLogic 10 で実行しており、SSO と WebLogic の組み込み SAML 2 SSO サポートを使用してユーザーを認証したいと考えています。
セキュリティ レルムで SAML2IdentityAsserter を構成し、以前にセットアップした ID プロバイダーからのメタデータを使用する Web SSO ID プロバイダー パートナーを作成しました。それはすべてうまくいったように見えました。
このレルムを使用するように構成された、テスト用に使用している単純な Web アプリをデプロイしました。ただし、Web アプリにログインしようとすると、ID プロバイダーを使用しようとさえしないようです。BASIC と CLIENT-CERT の両方に設定しましたが、どちらも SAM2IdentityAsserter が設定されていないかのように動作しました。アサーターの順序を変更して遊んで、デフォルトのアサーターを削除しようとしましたが、どれも違いはありませんでした。WLS 10.3でこれを成功させた人はいますか?