在請求頭中檢索SAML聲明屬性問題

Question

我正在嘗試使用openSSO實現基於SAML的SP初始化單一登錄。發佈在IdP側驗證的認證請求後，它將通過帖子重定向將SAMLResponse傳遞給 spAssertionConsumer.jsp給SP。直到這一點，我得到了SAML響應。在我們使用Sun Java System Web Server時，我已經安裝了相應的策略代理，並且在會話屬性處理中我也映射了必需的屬性。

我已經提到了Relay State URL作爲我的應用程序URL，它是與openSSO安裝的一個獨立的域。當響應從openSSO重定向到我們的應用程序時，我沒有在請求頭或Cookies中獲得任何SAML Assertion屬性。

我不確定這裏可能會出現什麼問題>如果有人對此提供了一些說明，那麼它將非常有幫助。謝謝。

Answer 1

爲了調試德SAML流我建議你使用[SAML示蹤插件的Firefox] [1]

有很多的事情可以失敗。檢查IdP是否發送SUCCESS狀態，響應的斷言是否具有預期的屬性，檢查響應是否有效，檢查SP是否有任何符號或加密無法處理

如果沒有錯誤檢測到的數據，我建議您在openSSO的域下創建一個基本的應用程序，並檢查此應用程序是否檢索屬性，因爲可能發生的其他問題是由於無法讀取會話而導致最終應用程序未獲取屬性這是由OpenSSO存儲的。

通常情況下，SP軟件位於最終軟件的同一臺機器，以共享會話...但你可以在由最終的應用程序訪問的共享memcached服務器在OpenSSO的會話存儲

[1] https://addons.mozilla.org/es/firefox/addon/saml-tracer/