TAI for MS Azure with Websphere Application Server v9 CWWSS8017E:身份验证错误
TAI for MS Azure with Websphere Application Server v9 CWWSS8017E: Authentication Error
我正在尝试在 MS Azure AD 和位于 AWS 中的 WebSphere v9 CF11 服务器之间配置 SAML。但它不识别 TAI 设置
我已按照此处的所有步骤操作:https://www.ibm.com/support/knowledgecenter/en/SSAW57_9.0.0/com.ibm.websphere.nd.multiplatform.doc/ae/tsec_enable_saml_sp_sso.html and here https://www.ibm.com/support/knowledgecenter/en/SSAW57_9.0.0/com.ibm.websphere.nd.multiplatform.doc/ae/twbs_configuresamlssopartners.html
我已经在 WebSphere 中安装了 SAMLSA 应用程序,导入了我的 Azure 管理员提供的元数据文件,还导入了证书。我已经设置了 ACSTrustAssociationInterceptor 拦截器并输入(我认为是)正确的 sso_1.sp.acsUrl 和服务器的其他设置。
SystemOut 日志显示 ACSTrustAssociationInterceptor 正在加载:
SECJ0121I: 信任关联初始化 class com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor 加载成功
但版本为空:
SECJ0122I:信任关联初始化拦截器签名:
按照上面的设置完成后,当我转到 URL 时,它只显示:
错误 403:身份验证失败
日志中有关于缺少 cookie 的错误:
SECJ0126E:信任关联在验证期间失败。异常是 com.ibm.websphere.security.WebTrustAssociationFailedException:CWWSS8017E:身份验证错误:单点登录 cookie 不存在或无法验证。请登录 SAML 身份提供商,然后重试。
好像永远不会"intercepted"通过。只是失败了。没有网络流量进入 AD 服务器
当转到 URL 时,它应该将我重定向到 MS 登录,然后返回到应用程序,但它不是
听起来您可能缺少 sso_1.sp.login.error.page 属性 定义。如果没有 属性,则期望用户将转到 IdP 以启动登录;如果您定义 属性 并将其值设置为您的 IdP 的登录页面,那么您收到的 403(由于未经身份验证)最终会将您重定向到 IdP 以启动登录过程那里。
"bookmark style" 描述中有更多信息:https://www.ibm.com/support/knowledgecenter/en/SSAW57_9.0.0/com.ibm.websphere.nd.multiplatform.doc/ae/cwbs_samlssosummary.html
我正在尝试在 MS Azure AD 和位于 AWS 中的 WebSphere v9 CF11 服务器之间配置 SAML。但它不识别 TAI 设置
我已按照此处的所有步骤操作:https://www.ibm.com/support/knowledgecenter/en/SSAW57_9.0.0/com.ibm.websphere.nd.multiplatform.doc/ae/tsec_enable_saml_sp_sso.html and here https://www.ibm.com/support/knowledgecenter/en/SSAW57_9.0.0/com.ibm.websphere.nd.multiplatform.doc/ae/twbs_configuresamlssopartners.html
我已经在 WebSphere 中安装了 SAMLSA 应用程序,导入了我的 Azure 管理员提供的元数据文件,还导入了证书。我已经设置了 ACSTrustAssociationInterceptor 拦截器并输入(我认为是)正确的 sso_1.sp.acsUrl 和服务器的其他设置。
SystemOut 日志显示 ACSTrustAssociationInterceptor 正在加载:
SECJ0121I: 信任关联初始化 class com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor 加载成功
但版本为空:
SECJ0122I:信任关联初始化拦截器签名:
按照上面的设置完成后,当我转到 URL 时,它只显示:
错误 403:身份验证失败
日志中有关于缺少 cookie 的错误:
SECJ0126E:信任关联在验证期间失败。异常是 com.ibm.websphere.security.WebTrustAssociationFailedException:CWWSS8017E:身份验证错误:单点登录 cookie 不存在或无法验证。请登录 SAML 身份提供商,然后重试。
好像永远不会"intercepted"通过。只是失败了。没有网络流量进入 AD 服务器
当转到 URL 时,它应该将我重定向到 MS 登录,然后返回到应用程序,但它不是
听起来您可能缺少 sso_1.sp.login.error.page 属性 定义。如果没有 属性,则期望用户将转到 IdP 以启动登录;如果您定义 属性 并将其值设置为您的 IdP 的登录页面,那么您收到的 403(由于未经身份验证)最终会将您重定向到 IdP 以启动登录过程那里。
"bookmark style" 描述中有更多信息:https://www.ibm.com/support/knowledgecenter/en/SSAW57_9.0.0/com.ibm.websphere.nd.multiplatform.doc/ae/cwbs_samlssosummary.html