Adfs: Unterschied zwischen token entschlüsseln Zertifikat und relying party die überprüfung der Signatur Zertifikat
Ich versuche zum einrichten einer Relying Party (SP) mit ADFS. ADFS erkennt und reagiert bei Anfragen ohne Unterschrift. Aber ADFS nicht die überprüfung einer signierten AuthRequest. Ich habe ein Zertifikat importiert relying party 's" Signature verification "Zertifikate" Sektion, aber das Zertifikat scheint nicht verwendet zu werden, in die überprüfung der Signatur-Anfragen von der relying party.
Eher scheint es ein "token-Entschlüsselung" - Zertifikat. Ich verstehe das nicht der Zweck dieses Zertifikats. Kann jemand bitte erklären Sie mir den Unterschied zwischen diesen beiden Zertifikaten und wie ersetzen eines "token-Entschlüsselung" - Zertifikat mit einem anderen selbst-signierten Zertifikat (in DER-oder pem-format)?
Dank
Fyi: Probe AuthnRequest geschickt, um ADFS
<saml2p:AuthnRequest xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" Destination="https://adfs-sj1.sjlab.local/adfs/ls/" ID="_422d0bb72b1120db737695464793dedf4ea8ddd2" IssueInstant="2012-07-30T21:52:47.501Z" Version="2.0">
<saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">spid</saml2:Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#_422d0bb72b1120db737695464793dedf4ea8ddd2">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>S5b7PCF8WscoOX++EcpyjQNW4q0=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>g1PXYERi48Q/vGXNBPwZlteyihQmt3eo9+MIQlBdC8MqTsm8GdvE1Nq4osszEyprAK5Q6Uv5QV/UgctUWGV2hUxLc5bpXVwpaYaoywH0XPXArROR1EyGVz2g5YAjgGxpU0YbxJIk+2A1DblE0alYSK/88oHHcmpwp6dmgwmvfXcRA83DnVCeIZoKSPuNTqSLb6UKk+QxUABieuAb1ecsQmJsEjUXcrPq+RPL1+goNhC4/vbPatuK90ZyZe5CljwAtWXmqoBzWexxgWdzs4E9zIc/aQi/HFioGz0EnPiipgBjHRlV+Gv0iFV1dS++a24+F7H2NG6aZSGipcyj2kJMDg==</ds:SignatureValue>
</ds:Signature>
</saml2p:AuthnRequest>
InformationsquelleAutor Rag | 2012-07-30
Du musst angemeldet sein, um einen Kommentar abzugeben.
Gutes Artikel: AD FS 2.0: Wie Ersetzen Sie die SSL -, Service-Kommunikation, Token-Signing, und Token-Entschlüsselung Zertifikate.
Den Service-Communications-Zertifikat ist im wesentlichen die IIS-SSL-Zertifikat und dient dem gleichen Zweck.
Token-Entschlüsselung-Zertifikat ist für die Kommunikation mit anderen Forderungen Anbietern. Sie verschlüsseln des token wird mit diesem Zertifikat ist der öffentliche Schlüssel und ADFS entschlüsselt mit dem privaten Schlüssel.
Den Token-Signing-Zertifikat zum signieren von token für die RP zu beweisen, dass es in der Tat, kam von ADFS.
Plus, wenn Sie wählen Sie die encrypt-option, wenn Sie FedUtil, verwenden Sie ein anderes Zertifikat auf der RP-Seite zum verschlüsseln des token. In diesem Fall ist es doppelt verschlüsselt - SSL-plus RP-Zertifikat.
Deine Frage ist etwas verwirrend. ADFS immer Anzeichen der RP-token. Es ist nicht optional. Könnten Sie das bitte klären?
Auch das problem, das ich hatte, war, die relying party schickt eine signierte AuthnRequest mit SHA1. Aber von event-logs, fand ich, es war zu erwarten, die Nachricht, die Unterschrift zu haben, SHA256. Ich war nicht in der Lage, um herauszufinden, die Komponenten in die Architektur und ich landete ersetzen die "token-Entschlüsselung-Zertifikat" mit einer relying party Zertifikat. Dies könnte falsch sein und ADFS ging, um sich zu beschweren über einen anderes problem.
InformationsquelleAutor nzpcmad
- Service-Kommunikation — Diese
SSL
cert wird verwendet, um die Verschlüsselung der gesamten client-Konnektivität, um dieAD FS
server.Token-Signing — Diese
x.509
cert wird verwendet, um Zeichen, das token gesendet, der die Weiterleitung Partei zu beweisen, dass es in der Tat, kam ausAD FS
.Token-Entschlüsselung — Diese
x.509
cert verwendet zum verschlüsseln der payload einerSAML
token, bevor Ihr wieder verschlüsselt an dieSSL
transport layer. Es wird nur selten verwendet.Hoffe, das beantwortet deine ursprüngliche Frage
InformationsquelleAutor Milan
Verlassen Unterschrift Zertifikat erhalten nur verwendet, wenn die Anfrage mit unterzeichnet relying party statt direkt auf Idp. Und es wird selten verwendet, in den meisten Fällen.
Jedoch beim erstellen relying party durch eine Metadaten-xml es immer die Unterschrift cert konfiguriert cert ist Teil der Metadaten-xml.
Kurz ,relying party anmelden cert ist nicht immer in reinen ADFS-Szenario im Vergleich mit ADFS signing und Entschlüsselung cert . Sie müssen verstehen, das user-Szenario.
Gibt es gute Folien https://www.slideshare.net/musre/understanding-claim-based-authentication zu erklären, IDP und RP
InformationsquelleAutor yikaus