Signieren der SAML-Response mit oder ohne Geltendmachung Signatur?

Beim signieren einer SAML Response, die auch eine signierte Assertion sollte ich:

A) Generieren Sie den Response-Signatur ohne die Geltendmachung Signatur. Dann injizieren Sie die Behauptung Unterschrift, nachdem beide Signaturen erzeugt wurden.

B) Erzeugen die Geltendmachung Unterschrift und fügen Sie es beim generieren der Response Signatur.

C) Etwas anderes.?.

~ Vielen Dank im Voraus!

InformationsquelleAutor Panman | 2011-08-05

  1. 39

    SAML ist schrecklich, jedes mal, wenn ich die Antwort Lesen, sind Sie fast richtig, hier ist der richtige Algorithmus destilliert:

    1. SHA1 die kanonische version der Behauptung.
    2. Erzeugen ein SignedInfo-XML-fragment mit den SHA1-Signatur
    3. Zeichen des SignedInfo-XML-fragment, wieder die kanonische form
    4. Nehmen die SignedInfo der Signatur und die Taste info, und erstellen Sie eine Signatur XML-fragment
    5. Legen Sie diese SignatureXML in der Behauptung ( sollte gehen Sie nach rechts vor dem saml:subject)
    6. Nicht tak der Behauptung(mit der Signatur) und eingesetzt in die Reaktion
    7. SHA1-diese Antwort
    8. Erzeugen ein SignedInfo-XML-fragment mit den SHA1-Signatur
    9. Zeichen des SignedInfo-XML-fragment, wieder die kanonische form
    10. Nehmen die SignedInfo der Signatur und die Taste info, und erstellen Sie eine Signatur XML-fragment
    11. Legen Sie diese SignatureXML in der Antwort
    12. Fügen Sie die XML-version-info für die Antwort.

    Thats it. SAML ist ganz schrecklich. Es gibt Unmengen von kleinen Feinheiten, die die Implementierung von auf SAML-ein Alptraum(wie die Berechnung der kanonischen form einer Teilmenge der XML(die Behauptung), auch die XML-version XML-Dokumenten ist nicht im Lieferumfang enthalten.

    Beendete ich meine Umsetzung, ich hoffe, nie wieder solche Schmerzen wieder.

    InformationsquelleAutor daniel

  2. 6

    Ich glaube die richtige Antwort ist B). Unterschreiben Sie die Behauptung zuerst, dann melden Sie die Antwort, die enthält die signierte Assertion Daten. Jedoch, wenn eine einzelne Emittenten/Person (STS/IDP/etc) ist die Unterzeichnung beiden gibt es keinen wirklichen Grund zu unterzeichnen, die Behauptung gibt es? Nur Unterschreiben das Protokoll-Nachricht/Antwort sollte auch die Geltendmachung von Daten. Dies wird abgeholzt auf Anforderungen an die Verarbeitung bei den SP. Für Web-SSO, ich habe immer nur gesehen, beide Teile signiert, wenn Sie eine andere Einheit der Unterzeichnung der Geltendmachung vs die Antwort. -- Ian

    InformationsquelleAutor Ian

  3. 5

    Wenn Sie Unterschreiben, dann die Behauptung unterzeichnet werden MUSS, die erste, dann die Antwort, weil die Antwort Signatur wird basierend auf dem gesamten Inhalt der Antwort (einschließlich der Geltendmachung Signatur). Also der Unterzeichnung der Geltendmachung zweite würde zum erlöschen der Reaktion Unterschrift.

    InformationsquelleAutor JST

  4. 0

    Die richtige Antwort ist B.

    Wenn die Geltendmachung Partei Zeichen der SAML-response mit Ein, dann ist die relying party muss entfernen der Signatur der SAML-Antwort und die Signatur der SAML-assertion, bevor die Validierung der SAML-Antwort. SAML-Core-Spezifikation sagt, dass die Unterschrift muss nicht erzeugt werden mittels Transformationen andere als enveloped signature transform oder exklusive Kanonisierung verwandeln. Keine dieser beiden Transformationen können entfernen Sie die Signatur der SAML-assertion. So, die relying party nicht der Validierung der SAML-Antwort.

    InformationsquelleAutor fajarkoe

Schreibe einen Kommentar