web-dev-qa-db-fra.com

Pouvez-vous recommander un fournisseur d'identité SAML 2.0 à des fins de test?

J'implémente un fournisseur de services SAML 2.0 et je dois installer un fournisseur d'identité SAML 2.0 à des fins de test. Compte tenu de ce besoin, le fournisseur d’identité devrait idéalement être gratuit (ou avoir une période d’essai) et être facile à installer et à configurer.

Je suis à la recherche d'une fonctionnalité simple de connexion unique et de déconnexion unique.

J'ai essayé Sun Opensso Enterprise. Le prix est correct, mais jusqu'à présent cela a été un cauchemar à configurer. En outre, la messagerie et la consignation des erreurs laissent beaucoup à désirer et je résous souvent un problème qui se résume essentiellement à une mauvaise configuration ou à un paramètre par défaut contre-intuitif.

26
Steve Reed

Quels problèmes avez-vous à configurer OpenSSO? J'ai trouvé OpenSSO comme étant la configuration la plus simple!

Mes notes sur la mise en service des PDI de base sont présentées ci-dessous - espérons qu'elles vous aideront à être opérationnel.

Michael


J'ai trouvé que le meilleur moyen (c'est-à-dire le plus indolore) est ...

  1. Utilisez Glassfish - il s’agit d’un conteneur bien pris en charge pour OpenSSO - utilisez le profil de développeur pour vous simplifier la vie - utilisez les étapes de configuration rapides décrites à la page de téléchargement.
  2. Déployez OpenSSO conformément aux instructions de base (décompressez le fichier Zip - déployez le fichier war dans le domaine par défaut)

J'ai utilisé les étapes suivantes comme étapes d'installation (j'utilise OpenSSO build 7):

  • Sous "Configuration personnalisée", cliquez sur "Créer une nouvelle configuration".
  • Tapez le mot de passe "adminadmin" dans les champs Mot de passe et Confirmer. Cliquez sur Suivant.
  • Dans les paramètres du serveur, laissez les valeurs par défaut seules (ou modifiez-les si nécessaire) et choisissez Suivant.
  • Dans Configuration Data Store, laissez les valeurs par défaut seules (ou modifiez-les si nécessaire) et choisissez Suivant.
  • Dans User Data Store, choisissez "OpenSSO User Data Store". Cliquez sur Suivant.
  • Dans Configuration du site, choisissez Non (cette installation n'utilisera pas d'équilibreur de charge). Cliquez sur Suivant.
  • Dans Utilisateur d'agent par défaut, entrez admin123 comme mot de passe et mot de passe confirmé. Cliquez sur Suivant.
  • Cliquez sur "Créer une configuration".
  • Cliquez sur "Continuer pour vous connecter".
  • Connectez-vous en tant que "amadmin" avec le mot de passe "adminadmin".

Les instructions ci-dessus sont basées sur http://developers.Sun.com/identity/reference/techart/opensso-glassfish.html

Vous avez maintenant vos bases en place. Créez un sous-domaine sous/utilisateurs appelés et créez un compte ou deux à l'intérieur.

Préparez maintenant vos métadonnées SP. Ne mettez pas trop de métadonnées dans vos métadonnées pour commencer - restez simple.

Dans la page par défaut de l'interface graphique, choisissez de créer un IDP hébergé. C'est un flux de travail assez basique. Vous devez spécifier votre domaine/users et choisir d'utiliser l'alias de clé de test pour la signature. Le cercle de confiance que vous créez peut être qualifié de petit rien.

Une fois le workflow terminé, il vous sera demandé si vous souhaitez importer des métadonnées pour un SP - dites oui et choisissez d'importer à partir de votre fichier de métadonnées préparé.

À ce stade, vous devriez être bien préparé.

Vous voudrez peut-être récupérer vos métadonnées de PDI. Il y a quelques façons de le faire. Vous pouvez utiliser " http: // nom du serveur: 8080/opensso/ssoadm.jsp? Cmd = export-entity " ou " http: // nom du serveur: 8080/opensso/saml2/jsp/exportmetadadata.jsp? royaume =/utilisateurs ".

... et c'est à peu près tout pour la configuration.

Si vous rencontrez des problèmes d'interopérabilité avec OpenSSO, vous pouvez consulter le répertoire de données OpenSSO (~/opensso par défaut). Il y a des informations de débogage et de journalisation dans les sous-répertoires. Vous pouvez référencer ces informations avec le wiki OpenSSO, qui contient de très bonnes informations de dépannage.

Au lieu d'installer et de configurer un fournisseur d'identité, vous pouvez utiliser une plate-forme de test hébergée telle que TestShib ou OpenIdP . Les deux fonctionnent dans le même sens mais OpenIdP nécessite que vous vous enregistriez.

  1. Générez votre fichier XML de métadonnées SAML.
  2. Enregistrez votre SP auprès du IdP en en téléchargeant votre fichier XML de métadonnées .
  3. Enregistrez le fournisseur d'identité avec votre SP en en téléchargeant leur fichier XML de métadonnées .
13
Tamlyn

Utilisez samlidp.io , il est parfait et gratuit pour les tests. Vous pouvez configurer votre propre IdP en quelques clics en ajoutant des métadonnées personnalisées de votre fournisseur de services. C'est tout.

6
sitya

Vous pouvez essayer LemonLDAP :: NG ( http://lemonldap-ng.org )

Il est packagé pour la plupart des distributions Linux, donc facile à installer et à configurer.

2
Clément OUDOT

Vous pouvez configurer Auth0 en tant que IdP SAML. La configuration est simple et un niveau gratuit est disponible.

2
thameera

Je recommanderais d'utiliser OpenAm https://backstage.forgerock.com/#!/downloads/OpenAM/OpenAM%20Enterprise#browse pour afficher localement sur l'instance de Tomcat. Il est assez facile à installer et à faire fonctionner pendant quelques heures.

0
Nick Prusov

Cela fait longtemps que je teste l'intégration SAML2 et utilise OpenSSO. Depuis que j'ai découvertOKTApour tester des applications http://okta.com/ je n'ai pas regardé en arrière. Il est parfait, facile à utiliser et vous pouvez également créer différents utilisateurs et envoyer des attributs personnalisés au SP. 

OpenSSO n'est pas Nice. Pour commencer, vous avez ces captchas ridicules qui n'ont même aucun sens. SSOCircle ne vous permet pas d'envoyer des attributs personnalisés, il ne vous permet pas non plus d'utiliser le cryptage SHA-256, pour ce que j'ai vu. OpenSSO ne vous donne aucune aide sur les messages d'erreur, sauf si vous payez pour leur fonctionnalité debug (qui est probablement médiocre étant donné que le reste de l'application fonctionne mal).

0
nuvio

Jetez un oeil à cette réponse .

En bref, samling est un IdP SAML sans serveur si vous testez un noeud final SAML SP. Il prend en charge AuthnRequest et LogoutRequest. Il s'exécute uniquement dans le navigateur pour simuler les réponses SAML renvoyées par un IdP SAML - pas d'inscription, pas de serveurs, juste un navigateur, vous permettant de contrôler de nombreux aspects de la réponse - du succès à plusieurs échecs.

0
fujifish