在筆者先前的文章——《基于saml2.0的平臺（適用多種平臺）單點登錄配置，以okta為例》中，詳細(xì)介紹了如何把一個自開發(fā)的三方系統(tǒng)，集成到okta或者IAS平臺。

成都創(chuàng)新互聯(lián)致力于互聯(lián)網(wǎng)網(wǎng)站建設(shè)與網(wǎng)站營銷，提供成都網(wǎng)站設(shè)計、成都網(wǎng)站制作、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站開發(fā)、seo優(yōu)化、網(wǎng)站排名、互聯(lián)網(wǎng)營銷、微信小程序定制開發(fā)、公眾號商城、等建站開發(fā)，成都創(chuàng)新互聯(lián)網(wǎng)站建設(shè)策劃專家，為不同類型的客戶提供良好的互聯(lián)網(wǎng)應(yīng)用定制解決方案，幫助客戶在新的全球化互聯(lián)網(wǎng)環(huán)境中保持優(yōu)勢。

經(jīng)過筆者的實際工作經(jīng)驗，發(fā)現(xiàn)SF自己本身其實也可以作為一個單點登錄平臺來使用。

具體場景：

自開發(fā)的三方系統(tǒng)（JAVA）需要和SF系統(tǒng)進(jìn)行單點登錄集成，在前面的文章中，我們?yōu)榱撕蚐F系統(tǒng)集成，是通過外部的單點登錄平臺IAS來實現(xiàn)的，在這里其實是可以一步到位直接和SF進(jìn)行集成的。

因為SF自身也是一個產(chǎn)品，它也提供了類似于單點登錄平臺的作用，所以可以不需要IAS平臺，直接在SF自身的平臺配置單點登錄。

解決方法：

下面介紹下具體的方法。

SF的單點登錄配置特別簡單，首先登錄SF專用的配置網(wǎng)址。

再進(jìn)入特定的配置界面：

第一步：這里的重點就是截圖中文字描述的，首先下載idp認(rèn)證服務(wù)器的xml，其實就是認(rèn)證服務(wù)器的公鑰證書，下載到自開發(fā)服務(wù)器后，以后的單點登錄認(rèn)證就通過這個idp來完成。

第二步：配置SSO參數(shù)，可以參考上一篇文章，基本保持一致，這里不需要把自開發(fā)服務(wù)生成的metadata.xml文件上傳到這里單點配置。

SF單點登錄與IAS平臺級配置區(qū)別：

上面介紹的都是很簡單的配置，只要詳細(xì)的看完了上一篇文章，這個配置就沒問題。

這里重點說一下SF單點登錄和IAS單點登錄配置的不同之處。

大的不同在于，當(dāng)在自開發(fā)項目中，當(dāng)調(diào)用單點登錄接口/saml/login成功后會通過瀏覽器自動跳轉(zhuǎn)到/saml/SSO。問題的關(guān)鍵在于請求的域名和http方式，如果是IAS平臺集成，會跳轉(zhuǎn)到IAS平臺自己配置好了前綴的/saml/SSO接口，比如https://ias.idp.com/saml/SSO。

但是如果是SF的單點登錄配置，它不會自動的按照SF平臺配置的/saml/SSO鏈接調(diào)用，它只會根據(jù)當(dāng)前自開發(fā)服務(wù)器的ip地址來自動跳轉(zhuǎn)比如：http://10.10.10.10:80/saml/SSO。

在平時的開發(fā)中，其實都好說，主要是當(dāng)需要生產(chǎn)上線的情況，需要通過域名和證書訪問。

這時候SF卻不能夠像IAS一樣，只要在SSO配置的地方配置好就行，只能通過代碼的形式來實現(xiàn)把本機(jī)ip替換成指定的域名和端口。

這里的解決方法是通過Nginx請求頭配置和Tomcat的流程引擎——RemoteIpValve來控制，在tomcat執(zhí)行請求的過程中，把本地ip替換成指定的域名。

關(guān)于tomcat的RemoteIpValve流程引擎原理，也有一篇專門的文章講解，有興趣可以去看看。

下面說下具體的解決辦法：

Nginx配置：

location / {
           #請求使用https
           proxy_set_header X-Forwarded-Proto https;
           #本機(jī)ip替換為指定域名
           proxy_set_header X-Forwarded-Host test.baidu.com;
           #使用指定的端口
           proxy_set_header X-Forwarded-Port 8082;
           proxy_pass http://10.10.10.10:8090;
        }

Tomcat配置：

server:
  tomcat:
    remoteip:
      protocol-header: X-Forwarded-Proto
      protocol-header-https-value: https

就這樣，通過Nginx在請求頭配置一系列指定的參數(shù)，可以把tomcat接收到的請求http://10.10.10.10:80/saml/SSO，直接動態(tài)轉(zhuǎn)換為https://test.baidu.com:8082/saml/SSO。

這樣就直接解決了在SF單點登錄之初，從saml/login無法轉(zhuǎn)向我們需要的saml/SSO請求的問題。

你是否還在尋找穩(wěn)定的海外服務(wù)器提供商？創(chuàng)新互聯(lián)www.cdcxhl.cn海外機(jī)房具備T級流量清洗系統(tǒng)配攻擊溯源，準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性，企業(yè)級服務(wù)器適合批量采購，新人活動首月15元起，快前往官網(wǎng)查看詳情吧

當(dāng)前標(biāo)題：三方系統(tǒng)集成SF(SuccessFactors)，實現(xiàn)單點登錄要點-創(chuàng)新互聯(lián)
標(biāo)題網(wǎng)址：http://www.chinadenli.net/article34/djsese.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)網(wǎng)站制作、用戶體驗、商城網(wǎng)站、Google、小程序開發(fā)、自適應(yīng)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)