我正在将SAML与外部IdP一起使用以实现SSO选项。如果在浏览器中单击SSO按钮后检查收到的SAML响应,则可以看到所需的身份验证数据(例如用户名和电子邮件),因此与IdP的通信正常。] >
但是Keycloak不执行登录,并显示以下页面:“很抱歉,登录超时,请重新登录。”,并且没有新用户注册。我的领域中令牌的登录超时设置为30分钟。
查看日志,发现以下错误:
keycloak_1 | 00:38:27,888 ERROR [org.keycloak.broker.saml.SAMLEndpoint] (default task-26) Assertion expired. keycloak_1 | 00:38:27,889 WARN [org.keycloak.events] (default task-26) type=IDENTITY_PROVIDER_RESPONSE_ERROR, realmId=master, clientId=null, userId=null, ipAddress=172.20.0.1, error=invalid_saml_response[我发现这可能是由于IdP和SP中EntityID的差异,但是我联系了我的IdP,而EntityID是相同的。
可能是什么问题?
我正在将SAML与外部IdP一起使用以实现SSO选项。如果在浏览器中单击SSO按钮后检查收到的SAML响应,则可以看到所需的身份验证数据(例如...
通常,SAML响应无效。可以是任何东西:错误的实体ID,错误的时间,错误的签名/加密签名,....