J'ai configuré un fournisseur d'identité SAML dans keycloak en important des métadonnées fournies par Microsoft ADFS.
J'ai pu voir l'option IdP sur la page de connexion de mon client pour la connexion.
Après avoir cliqué sur ce bouton, il redirige vers la page de connexion du fournisseur d'identité externe.
Après la connexion, j'obtiens du succès avec une SAMLResponce. (Vérifié avec le traceur SAML).
La page est redirigée vers l'URL de redirection IDP.
Après la redirection, la page me montre "invalidFederatedIdentityActionMessage"
J'ai vu les journaux du docker qu'il me donne ---
23: 58: 09 035 WARN [org.keycloak.events] (tâche par défaut-181) type = IDENTITY_PROVIDER_RESPONSE_ERROR, realmId = rak-development, clientId = null, userId = null, ipAddress = 172.18.0.4, error = invalid_saml_response, raison = destination_invalide
Pouvez-vous s'il vous plaît aider ce que je fais mal.
3 Réponses :
J'ai eu un problème similaire et il s'est avéré être une mauvaise configuration du proxy / pare-feu F5. Il a envoyé le mauvais en-tête "X-Forwarded-Proto: http" au lieu de "X-Forwarded-Proto: https". Peut-être que cela peut vous aider.
Déplacer le problème vers le forum redhat n'est pas utile dans ce fil de discussion. Si vous partagez le journal TRACE ici, peut-être que quelqu'un pourra vous éclairer. J'ai AWS ALB à EC2 avec docker. L'ALB termine ssl. Cela ne devrait donc pas être un problème.
Cela se produit lorsque vous configurez le fournisseur d'identité sur «Valider la signature». Lorsque vous activez ce commutateur, Keycloak valide la réponse SAML par rapport au texte dans «Validation des certificats X509». Ce champ doit contenir un certificat valide de votre fournisseur d'identité; dans ce cas, l'enregistrement de l'application dans Microsoft.
Essayez de désactiver le bouton "Valider la signature" pour voir si cela supprime l'erreur. Ensuite, vous pouvez déboguer la valeur du certificat.
Dans mon cas, j'ai déjà désactivé la validation de la signature. Je l'ai essayé avec et sans l'activation.
J'ai publié plus d'informations ici si cela aide quelqu'un à résoudre ce problème: issues.redhat.com/ projets / KEYCLOAK / issues / KEYCLOAK-15005
J'ai trouvé une solution. Pour moi, le problème était que je devais définir PROXY_ADDRESS_FORWARDING = true envvar. J'avais déjà fait ça mais j'ai tapé le nom.
J'utilise AWS ALB qui définit les en-têtes X-Forwarded. Je sais que ceux-ci sont également nécessaires.
Avez-vous trouvé le problème? Je rencontre la même chose ...
Je vois aussi ceci ... Quelqu'un a-t-il trouvé une solution?