Как использовать SSOCircle в качестве IDP для службы единого входа в bluemix?
SSOCircle предоставляет готового к использованию поставщика удостоверений в соответствии с их веб-сайтом. Я хотел смоделировать систему единого входа SAML и интегрировать ее в образец приложения Liberty для Java в bluemix.
Что я сделал до сих пор:
Загружены метаданные общедоступного IDP SSOCircle из раздела «Управление метаданными». Загрузил его в службу единого входа bluemix с помощью кнопки загрузки файла и ввел https://idp.ssocircle.com/sso в текстовом поле в разделе «Шаг 1» в настройке SAML Enterprise.
Ваш URL неправильный. Я не видел четкой документации на ssocircle.com, но нашел несколько примеров, из которых я мог бы вывести (надеюсь) правильный шаблон URL. Вот что я использую для тестирования:
Вы можете узнать свой идентификатор объекта SP, загрузив метаданные поставщика услуг на шаге 2 и проверив атрибут entityID корневого элемента md: EntityDescriptor.
personMartin Smolnyschedule05.08.2015
comment
Я изменил URL-адрес на idp.ssocircle.com/sso/idpssoinit?metaAlias=/. Я вошел в систему, но обнаружил ошибку. FBTSML236E Утверждение, выданное idp.ssocircle.com, не может быть проверено или расшифровано. Я проверил Мои SAML-федерации в SSOCircle, и там появился URL-адрес поставщика услуг.
- personJigs; 06.08.2015
comment
Да, на этом этапе я также получаю это сообщение об ошибке. Я не нашел способа обойти это, извините.
- personMartin Smolny; 09.08.2015
URL-адрес SSOCircle правильный. Ошибка происходит на сайте bluemix. Согласно центру знаний IBM, FBTSML236E сообщает, что журнал трассировки укажет на сбой операции.
Скорее всего, проверка подписи утверждения не выполняется. Сам сертификат подписи SSOCircle не является самоподписанным, а подписывается собственным ЦС. Возможно, bluemix проверяет всю цепочку сертификатов и по этой причине нуждается в сертификате CA. Вы можете получить его на веб-сайте SSOCircle после входа в систему, а затем в разделе «Статус моего сертификата» вы найдете ссылку на сертификат CA.
Если это не решит проблему. Узнайте в IBM, как проверяется ответ SAML. Публичный IDP SSOCircle по умолчанию подписывает утверждение SAML. Возможно, у bluemix другие требования (например, подписание ответа SAML)