我实现SAML 2.0服务供应商，并需要安装一个用于测试的SAML 2.0身份提供。 鉴于此需要，身份提供最好应该是免费的（或有试用期），并易于安装和配置。

我在寻找基本的单点登录和单注销功能。

我试过孙OpenSSO的企业。 价格是正确的，但到目前为止，它已经配置了一场噩梦。 此外，它的错误信息和记录极不理想了很多，我经常疑难解答基本上可以归结为配置错误或违反直觉的默认设置的问题。

哪些问题是您在配置OpenSSO的？ 我发现OpenSSO的是最简单的设置！

我在得到基本IDP启动和运行的笔记低于 - 希望他们帮助你启动和运行。

迈克尔

我发现最好的（即最无痛）的方法是...

1. 使用Glassfish的 - 这是一个OpenSSO的良好支撑容器 - 使用开发人员配置，使您的生活更轻松 - 使用快速安装步骤的下载页面上的记录
2. OpenSSO的部署按照基本指令（解开拉链 - 部署WAR文件到默认域）

我用以下为我的安装步骤（我用的OpenSSO建立7）：

• 在“自定义配置”，单击“创建新配置”。
• 键入密码口令“为adminadmin”和确认领域。 点击下一步。
• 在服务器设置，独自离开默认值（或编辑如果如果需要的话），然后选择下一步。
• 在配置数据存储，独自离开默认值（或编辑如果需要的话），然后选择下一步。
• 在存储用户数据，选择“OpenSSO的存储用户数据”。 点击下一步。
• 在站点配置，选择否（安装后不会使用负载平衡器）。 点击下一步。
• 在缺省代理用户，输入为admin123密码和确认密码。 点击下一步。
• 点击“创建配置”。
• 点击“前往登录”。
• 请以“amadmin身份”，密码为“为adminadmin”。

上面的说明是基于http://developers.sun.com/identity/reference/techart/opensso-glassfish.html

现在，你有你的基本知识和运行。 创建subrealm下/被叫用户，并在那里创建一个或两个帐户。

现在你预习SP的元数据。 不要把太多的元数据 - 开始，保持简单。

在GUI的默认页面，选择创建一个托管的IDP。 这是一个非常基本的工作流程。 您应指定/用户领域，并选择使用测试密钥别名用于签名。 您创建信任圈可以被称为小气得多东西。

说是，选择从准备的元数据文件导入 - 当你完成工作流，如果你想导入的元数据的SP系统将要求您。

在这个阶段，你应该非常成立。

你会想抓住下一个你IDP元数据。 有几个方法可以做到这一点。 您可以使用“ http：//服务器：8080 /的OpenSSO / ssoadm.jsp CMD =出口-实体 ”或“ http：//服务器：8080 /的OpenSSO / SAML2 / JSP / exportmetadata.jsp境界= /用户 ”。

......这几乎是它的设置。

如果您在使用OpenSSO的互操作问题，你可以看看在OpenSSO数据目录（〜默认/ OpenSSO的）。 还有的调试，并在那里子目录下的日志信息。 您可以交叉引用与OpenSSO的维基，其中有一些不错的故障诊断信息。

相反，安装和配置了IDP，你可以使用托管的测试平台，如TestShib或OpenIdP 。 沿着相同的路线都工作，但OpenIdP需要您注册。

1. 生成您的SAML元数据的XML文件。
2. 通过注册与IdP进行的SP 上传您的元数据的XML文件 。
3. 通过注册与SP IdP进行下载其元数据的XML文件 。

使用samlidp.io ，它是完美的，免费的测试，你可以设置自己的IdP点几下与添加定制SP的元数据，这一切，它的工作原理。

你可以给一个尝试LemonLDAP :: NG（ http://lemonldap-ng.org ）

它是打包大多数Linux发行版，所以易于安装和设置。

您可以配置Auth0作为SAML的IdP。 该设置是直线前进 ，并有可用的自由层。

我使用Keycloak（ https://www.keycloak.org/ ）。

• 开源
• 独立应用程序
• 易于配置

我会建议使用OpenAm https://backstage.forgerock.com/#!/downloads/OpenAM/OpenAM%20Enterprise#browse对Tomcat实例本地istall。 这是很容易设置和几个小时的过程中得到它的启动和运行。

我已经与测试SAML2集成挣扎了很长一段时间，并用OpenSSO的。 因为我发现1563测试应用http://okta.com/我没有回头。 它是完美的，易于使用，并且你还可以创建不同的用户和发送自定义属性回SP。

OpenSSO的是不是很好。 对于启动你有这些荒谬的验证码不甚至意义。 SSOCircle不允许您发送自定义属性，它不会让您无论使用SHA-256加密，因为我已经看到了。 除非你支付他们的调试功能（这可能是穷人给出的应用程序的其余工作不正常）的OpenSSO不会给你有关错误消息的任何帮助。

看看这个答案 。

在坚果壳， 三林是如果测试任何SAML SP端点的无服务器SAML的IdP为宗旨。 它支持AuthnRequest和LogoutRequest。 它完全运行在浏览器来模拟从SAML的IdP返回SAML响应 - 无需注册，没有服务器，只是一个浏览器，允许你控制响应的许多方面 - 从成功走向的各种故障。