Если у кого-то есть опыт работы с Simple SAML (PHP) https://github.com/onelogin/php-saml, я был бы очень признателен за вашу помощь.
Прежде всего, у меня все работает. Мое приложение является поставщиком услуг и действительно разрешает аутентификацию от внешнего поставщика удостоверений. Ура!
Однако в ходе этого процесса у меня возникли два вопроса:
Мой поставщик услуг генерирует URL-адрес метаданных. Если клиент уже предоставил данные своего IDP, то этот код работает нормально. Я вижу, что код php-saml создает объект настроек, который проверяет и возвращает XML метаданных. Все хорошо.
Но если клиент запрашивает этот URL-адрес метаданных (чтобы настроить мой SP на своей стороне, в своем IDP, сначала), он сообщает об ошибке:
Очевидно, что это исключение говорит само за себя: конечно, эти подробности действительно еще не предоставлены.
При взгляде на XML метаданных SP он не возвращает никаких подробностей IDP, поэтому почему не может генерировать метаданные, не зная этих деталей?
Причина, по которой это вызывает беспокойство, заключается в том, что, если IDP столкнется с той же проблемой на своем конце (т. е. они не будут располагать деталями SP, получат ту же ошибку, и поэтому ни один из них не сможет продолжить работу)?!
В рамках settings, он запрашивает сертификат x509 и закрытый ключ для подписи запросов. В настоящее время я использую SSL-сертификат моего сайта (my-domain.com). Все это работает нормально.
Но я вижу, что другие поставщики услуг позволяют людям загружать свои сертификаты.
Таким образом, я могу позволить людям загружать часть моего сертификата x509 - я полагаю, общедоступную часть. Но мне интересно, нужно ли вообще связывать сертификат с доменом, используемым URL-адресами метаданных/ACS?
Или это может быть любой старый сертификат, например. самоподписавшийся? Чем занимаешься?
Если у кого-то есть опыт работы с Simple SAML (PHP) https://github.com/onelogin/php-saml, я был бы очень признателен за вашу помощь. Прежде всего, у меня все работает. Мое приложение является поставщиком услуг и действительно разрешает аутентификацию от внешнего поставщика удостоверений. Ура! Однако в ходе этого процесса у меня возникли два вопроса: [list] [*]Мой поставщик услуг генерирует URL-адрес метаданных. Если клиент уже предоставил данные своего IDP, то этот код работает нормально. Я вижу, что код php-saml создает объект настроек, который проверяет и возвращает XML метаданных. Все хорошо. Но если клиент запрашивает этот URL-адрес метаданных (чтобы настроить мой SP на своей стороне, в своем IDP, сначала), он сообщает об ошибке:
Очевидно, что это исключение говорит само за себя: конечно, эти подробности действительно еще не предоставлены. При взгляде на XML метаданных SP он не возвращает никаких подробностей IDP, поэтому почему не может генерировать метаданные, не зная этих деталей? Причина, по которой это вызывает беспокойство, заключается в том, что, если IDP столкнется с той же проблемой на своем конце (т. е. [b]они[/b] не будут располагать деталями SP, получат ту же ошибку, и поэтому ни один из них не сможет продолжить работу)?!
[*]В рамках settings, он запрашивает сертификат x509 и закрытый ключ для подписи запросов. В настоящее время я использую SSL-сертификат моего сайта (my-domain.com). Все это работает нормально. Но я вижу, что другие поставщики услуг позволяют людям загружать свои сертификаты. Таким образом, я могу позволить людям загружать часть моего сертификата x509 - я полагаю, общедоступную часть. Но мне интересно, нужно ли вообще связывать сертификат с доменом, используемым URL-адресами метаданных/ACS? Или это может быть любой старый сертификат, например. самоподписавшийся? Чем занимаешься?
Мобильная версия