我们有一个大型迁移项目,其中SSO通过SAML2实现 . 一个WebLogic 10.3.6容器充当身份提供者(idp),所有其他weblogic容器都配置为服务提供者(sp) . 我们希望保持这种情况不变 . 新的或迁移的应用程序使用SSO方案,其中WSO2作为身份提供者,OAuth2用于SSO服务 .
是否可以将WSO2中的旧(weblogic)SAML2 idp定义为受信任的idp,并使用SAML2和OAuth2实现整体SSO场景 - 保持weblogic idp和sp不变?
如果这是不可能的,另一个解决方案可能是从旧方案中提取idp并将WSO2配置为SAML2 idp和OAUth2服务并将标记交换/转换反之亦然 . 但是必须触及所有旧的weblogic服务提供商(使用WSO2 SAML2 idp)....
任何帮助表示赞赏;-)干杯汤姆
1 回答
在大多数情况下,这是可能的 . 对于SAML来说,它更容易,因为它是一个非常严格定义的标准,所以在你定义正确的主题名称,主题名称格式和断言之前,你很高兴 .
请注意 - 服务提供商需要更改 endpoints 配置,因为SSO / SLO endpoints 将不同 . 但是我认为这是配置,而不是真正改变服务提供者应用程序
问题可能出在OAuth上 . 令牌服务和用户信息服务响应不是如此严格地定义(或实现) . 您必须检查您的SP是否可以毫无问题地使用响应(在大多数情况下,我已经看到您需要向userinfo服务添加一些用户属性)