<div>Many Thanks!</div><div><br>John, I agree with you. <span style="line-height: 1.5;">Keystone is</span><span style="line-height: 1.5;"> </span><span style="line-height: 1.5;">not a general purpose federated IdP. </span></div><div><span style="line-height: 1.5;"> "</span><span style="line-height: 1.5;">Web application could use SAML HTTP-Redirect or it could also</span><span style="line-height: 1.5;"> </span><span style="line-height: 1.5;">function as an ECP client."</span></div><div><span style="line-height: 1.5;"><br></span></div><div>Now Keystone supports token, saml2, oauth1. There is aslo a keystone plugin project try to support oauth2. But Keystone's goal is not to <span style="line-height: 1.5;">support Web SSO</span></div><div><span style="line-height: 1.5;"><br></span></div><div><span style="line-height: 1.5;">BTW, if I still want to </span><span style="line-height: 1.5;">utilize Keystone, such as token authentication and SCIM and  integration with LDAP functionalities.</span></div><div>Could I use some SAMLv2 SSO Server, <span style="line-height: 1.5;">such as UAA or WSO2 Identity Server ,</span><span style="line-height: 1.5;"> to integrate with Keystone? </span></div><div><span style="line-height: 1.5;"><br></span></div><div><span style="line-height: 1.5;">the case maybe like this:</span></div><div><span style="line-height: 1.5;">A Java Service Provider ==SAMLv2 SSO==>UAA/WSO2 Identity Server </span></div><div><span style="line-height: 1.5;">UAA/WSO2 Identity Server =</span><span style="line-height: 1.5;">=IDP integrate with==> Keystone ==datastore==>LDAP</span></div><div><br></div><div>Certainly, <span style="line-height: 1.5;">A Java Service Provider =</span><span style="line-height: 1.5;">=> </span><span style="line-height: 1.5;">UAA/WSO2 Identity Server ==> LDAP   </span></div><div><span style="line-height: 1.5;">maybe make sense.</span></div><div><span style="line-height: 1.5;"><br></span></div><div><span style="line-height: 1.5;">I means , Could we integrate any SSO Server for Keystone solution?</span></div><div><span style="line-height: 1.5;">I think it can do by implementing a  java websso service, that integrated with Keystone's token auth.  </span>Although it is not a standard SAMLv2 IDP solution.</div><div><br></div><div><span style="line-height: 1.5;">Java SP ==sso==> Java WEBSSO Service(RestAPI) ==token==> Keystone(token auth/SCIM API)</span></div><div><br></div><div>Thanks for more help.</div><div><br></div><div><br></div><div><div><br></div><div style="font-size: 12px;font-family: Arial Narrow;padding:2px 0 2px 0;">------------------ 原始邮件 ------------------</div><div style="font-size: 12px;background:#efefef;padding:8px;"><div><b>发件人:</b> "John Dennis";<jdennis@redhat.com>;</div><div><b>发送时间:</b> 2015年10月15日(星期四) 凌晨1:05</div><div><b>收件人:</b> "OpenStack Development Mailing List (not for usage questions)"<openstack-dev@lists.openstack.org>; "wyw"<93425129@qq.com>; <wbr></div><div></div><div><b>主题:</b> Re: [openstack-dev] [keystone federation] some questions aboutkeystone IDP with SAML supported</div></div><div><br></div>On 10/14/2015 07:10 AM, wyw wrote:<br>> hello, keystoners.  please help me<br>><br>> Here is my use case:<br>> 1. use keystone as IDP , supported with SAML<br>> 2. keystone integrates with LDAP<br>> 3. we use a java application as Service Provider, and to integrate it<br>> with keystone IDP.<br>> 4. we use a keystone as Service Provider, and to integrate it withe<br>> keystone IDP.<br><br>Keystone is not an identity provider, or at least it's trying to get out <br>of that business, the goal is to have keystone utilize actual IdP's <br>instead for authentication.<br><br>K2K utilizes a limited subset of the SAML profiles and workflow. <br>Keystone is not a general purpose SAML IdP supporting Web SSO.<br><br>Keystone implements those portions of various SAMLv2 profiles necessary <br>to support federated Keystone and derive tokens from federated IdP's. <br>Note this distinctly different than Keystone being a federated IdP.<br><br>> The problems:<br>> in the k2k federation case, keystone service provider requests<br>> authentication info with IDP via Shibboleth ECP.<br><br>Nit, "Shibboleth ECP" is a misnomer, ECP (Enhanced Client & Proxy) is a <br>SAMLv2 profile, a SAML profile Shibboleth happens to implement, however <br>there other SP's and IdP's that also support ECP (e.g. mellon, Ipsilon)<br><br>> in the java application, we use websso to request IDP, for example：<br>> idp_sso_endpoint = http://10.111.131.83:5000/v3/OS-FEDERATION/saml2/sso<br>> but, the java redirect the sso url , it will return 404 error.<br>> so, if we want to integrate a java application with keystone IDP,<br>>   should we need to support ECP in the java application?<br><br>You're misapplying SAML, Keystone is not a traditional IdP, if it were <br>your web application could use SAML HTTP-Redirect or it could also <br>function as an ECP client, but not against Keystone. Why? Keystone is <br>not a general purpose federated IdP.<br><br>-- <br>John</div>