Signieren der SAML-Response mit oder ohne Geltendmachung Signatur?
Beim signieren einer SAML Response, die auch eine signierte Assertion sollte ich:
A) Generieren Sie den Response-Signatur ohne die Geltendmachung Signatur. Dann injizieren Sie die Behauptung Unterschrift, nachdem beide Signaturen erzeugt wurden.
B) Erzeugen die Geltendmachung Unterschrift und fügen Sie es beim generieren der Response Signatur.
C) Etwas anderes.?.
~ Vielen Dank im Voraus!
InformationsquelleAutor Panman | 2011-08-05
Du musst angemeldet sein, um einen Kommentar abzugeben.
SAML ist schrecklich, jedes mal, wenn ich die Antwort Lesen, sind Sie fast richtig, hier ist der richtige Algorithmus destilliert:
Thats it. SAML ist ganz schrecklich. Es gibt Unmengen von kleinen Feinheiten, die die Implementierung von auf SAML-ein Alptraum(wie die Berechnung der kanonischen form einer Teilmenge der XML(die Behauptung), auch die XML-version XML-Dokumenten ist nicht im Lieferumfang enthalten.
Beendete ich meine Umsetzung, ich hoffe, nie wieder solche Schmerzen wieder.
InformationsquelleAutor daniel
Ich glaube die richtige Antwort ist B). Unterschreiben Sie die Behauptung zuerst, dann melden Sie die Antwort, die enthält die signierte Assertion Daten. Jedoch, wenn eine einzelne Emittenten/Person (STS/IDP/etc) ist die Unterzeichnung beiden gibt es keinen wirklichen Grund zu unterzeichnen, die Behauptung gibt es? Nur Unterschreiben das Protokoll-Nachricht/Antwort sollte auch die Geltendmachung von Daten. Dies wird abgeholzt auf Anforderungen an die Verarbeitung bei den SP. Für Web-SSO, ich habe immer nur gesehen, beide Teile signiert, wenn Sie eine andere Einheit der Unterzeichnung der Geltendmachung vs die Antwort. -- Ian
InformationsquelleAutor Ian
Wenn Sie Unterschreiben, dann die Behauptung unterzeichnet werden MUSS, die erste, dann die Antwort, weil die Antwort Signatur wird basierend auf dem gesamten Inhalt der Antwort (einschließlich der Geltendmachung Signatur). Also der Unterzeichnung der Geltendmachung zweite würde zum erlöschen der Reaktion Unterschrift.
InformationsquelleAutor JST
Die richtige Antwort ist B.
Wenn die Geltendmachung Partei Zeichen der SAML-response mit Ein, dann ist die relying party muss entfernen der Signatur der SAML-Antwort und die Signatur der SAML-assertion, bevor die Validierung der SAML-Antwort. SAML-Core-Spezifikation sagt, dass die Unterschrift muss nicht erzeugt werden mittels Transformationen andere als enveloped signature transform oder exklusive Kanonisierung verwandeln. Keine dieser beiden Transformationen können entfernen Sie die Signatur der SAML-assertion. So, die relying party nicht der Validierung der SAML-Antwort.
InformationsquelleAutor fajarkoe