OpenAM как IDP не перенаправляется обратно на SP

Question

У меня проблема с OpenAM. Нужна ваша помощь.

Я установил OpenAM и просто сконфигурировал его как IDP - заданное имя и круг доверия. Затем я добавил удаленный SP путем загрузки SP метаданных, смотри ниже

<?xml version="1.0" encoding="UTF-8"?> 
<EntitiesDescriptor Name="urn:mace:shibboleth:testshib:two" xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" mlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> 
<EntityDescriptor entityID="http://192.168.0.6:8080/employee/"> 
    <SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol http://schemas.xmlsoap.org/ws/2003/07/secext"> 
     <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 
     </NameIDFormat> 
     <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 
     </NameIDFormat> 
     <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://192.168.0.6:8080/employee/" index="1" isDefault="true" /> 
    </SPSSODescriptor> 
</EntityDescriptor> 
</EntitiesDescriptor> 

SP и ВПЛ находятся в одной и той же круг доверия.

Когда я делаю запрос SAML для авторизации от SP до IDP, я получаю страницу входа в OpenAM с помощью SAMLRequest = ... в качестве параметров URL. Раскодированный SAMLRequest ниже

<samlp:AuthnRequest AssertionConsumerServiceURL="http://192.168.0.6:8080/employee/" 
Destination="http://192.168.0.7:8181/openam/" ForceAuthn="false" 
ID="ID_479ff8a2-8dc5-44b5-997f-0438a2d87417" IsPassive="false" 
IssueInstant="2015-01-07T13:31:01.067Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" 
Version="2.0"> 
    <saml:Issuer>http://192.168.0.6:8080/employee/</saml:Issuer> 
    <samlp:NameIDPolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" /> 
</samlp:AuthnRequest> 

Тогда я бы войти и прийти к странице профиля пользователя в OpenAM, вместо того, чтобы перенаправить SP. Почему так происходит? Что мне нужно настроить для перенаправления на SP?

Answer 1

Есть несколько вещей, которые вы могли бы сделать:

• Не используйте IP-адрес при установке OpenAM, потому что куки не будут сохранены на таких адресов, так что вы можете легко столкнуться с странные проблемы, как это.
• Если у вас включена проверка URL-адреса (по умолчанию она была отключена), тогда были некоторые старые ошибки, которые неправильно обрабатывали URL-адреса переадресации. Не знаете, какую версию вы используете, поэтому это может не относиться к вам.
• Вы должны захватить сетевой трафик такими инструментами, как плагин LiveHTTPHeaders Firefox или аналогичный, чтобы вы могли видеть, как идут HTTP-запросы. Это поможет вам определить, где именно происходит то, что происходит.