问如何用SAML ECP配置密钥披风

EN

我正在为运行tomcat的web服务器实现一个使用SAML的SSO身份验证流。使用POST或重定向绑定时，一切正常，但从我所读到的REST前面支持SAML身份验证的内容来看，我还需要配置和使用ECP配置文件。

首先，如果我错了，请纠正我，但ECP流应该是这样的：

1. 客户端访问SP 。
   • 客户端知道他需要进行身份验证，所以他设置了所需的ECP头(Accept: application/vnd.paos+xml和PAOS: urn:liberty:paos:2003-08;urn:oasis:names:tc:SAML:2.0:profiles:SSO:ecp)。

​

1. SP查看客户端未进行身份验证，并返回包含PAOS请求的SOAP信封。
2. 客户端负责将其发送到其ECP使用者服务上的适当IdP。
3. IdP向客户端发起身份验证挑战
4. IdP以另一个SOAP信封的形式返回一个响应，其中包含正文中的saml响应。
5. 客户端必须将此响应发送给SP的ECP/SOAP断言使用者服务

问题是所有这些都要工作到步骤6。在这个步骤中，我遇到了一个问题，即响应信封的主体包含一个目的地属性，它指向SP的POST断言消费者服务。这个目标属性由keycloak设置，与我想要发送响应的实际ECP服务不匹配。我们使用的SAML库是opensaml，它根据这个目标属性检查请求URI，如果它们不匹配，它将抛出一个异常org.opensaml.xml.security.SecurityException: SAML message intended destination endpoint did not match recipient endpoint。

我理解抛出此异常的原因，但无法理解如何使用SP的ECP/SOAP服务配置Keycloak。在Keycloak的管理控制台中，我只能为SSO POST/重定向和SLO POST/重定向配置URL，但不能配置ECP。

我目前正在配置另一个IdP，但我确实希望确保Keycloak也是我们的解决方案所支持的服务器。