Spring Security, SAML - Fehler beim überprüfen der Signatur

Ich bin mit dem Spring-Security SAML-2.0-Beispiel webapp auf dem Tomcat 7 und haben es geändert, um zu versuchen, um es zu authentifizieren gegen eine Ping Identity service. Die webapp ist im Gespräch mit der service-und es schickt wieder eine Behauptung, aber es fehlschlägt, wenn Sie versuchen, um die Signatur zu überprüfen, wie gezeigt, durch die debug-Ausgabe unter:

- Attempting to verify signature and establish trust using KeyInfo-derived credentials
- Signature contained no KeyInfo element, could not resolve verification credentials
- Failed to verify signature and/or establish trust using any KeyInfo-derived credentials
- Attempting to verify signature using trusted credentials
- Failed to verify signature using either KeyInfo-derived or directly trusted credentials
- Validation of received assertion failed, assertion will be skipped
org.opensaml.xml.validation.ValidationException: Signature is not trusted or invalid

Ich verstehe, dass es nicht in der Lage, um die Signatur zu überprüfen, und ich habe eine Bescheinigung von der Ping-Identität-admins zu verwenden, aber ich bin mir nicht sicher, wie es in der Anwendung. Ich habe versucht, indem es die JKS (keystore), dass kommt mit der Beispielanwendung, die die Verwendung des JDK ' s keytool-Programm, aber es kann nicht scheinen, um es zu finden gibt. Ich hab auch schon versucht, indem es die service-provider die Metadaten-xml-Datei wie folgt:

<md:KeyDescriptor use="signing">
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
            <ds:X509Certificate>
                [Certificate is here...]
            </ds:X509Certificate>
        </ds:X509Data>
    </ds:KeyInfo>
</md:KeyDescriptor>

Aber es immer noch gibt die gleiche Fehlermeldung.

Gibt es einen bestimmten Ort, ich sollte das Zertifikat zur Validierung der Signatur? Ich bin relativ neu auf SAML-und Applikation-Sicherheit im Allgemeinen, so dass ich entschuldige mich, wenn ich mit der falschen Terminologie.

InformationsquelleAutor Closeratio | 2012-08-21
  1. 9

    Endlich funktioniert. Stellt sich heraus, dass ich es vermisst hatte Sie sich eine Linie von der Konfiguration im security-Kontext-Datei, und dass (es scheint, als ob) kein X. 509 Zertifikat definition war notwendig, die service-provider die Metadaten-XML-Datei.

    Grundsätzlich würd ich schon importiert den public-key dann würde ich schon mit in die bestehende JKS (mit keytool), aber ich hatte nicht gesagt, die Anwendung zu verwenden speziell diese. Um dies zu tun, ich musste gehen in das Sicherheits-Kontext-Datei (in meinem Fall "securityContext.xml") und fügen Sie die folgende Zeile, um die ExtendedMetadata bean-definition für die SP-Metadaten-xml-Datei:

    <property name="signingKey" value="[alias of the provided key in the JKS goes here]"/>

    Daher nach dieser änderung, die ExtendedMetadataDelegate bean-definition wie folgt aussah:

    <bean class="org.springframework.security.saml.metadata.ExtendedMetadataDelegate">
  <constructor-arg>
    <bean class="org.opensaml.saml2.metadata.provider.FilesystemMetadataProvider">
      <constructor-arg>
        <value type="java.io.File">classpath:security/[Path to SP metadata xml file].xml</value>
      </constructor-arg>
      <property name="parserPool" ref="parserPool" />
    </bean>
  </constructor-arg>
  <constructor-arg>
    <bean class="org.springframework.security.saml.metadata.ExtendedMetadata">
      <property name="alias" value="[SP alias goes here]" />
      <property name="signingKey" value="[alias of the provided key in the JKS goes here]"/>
    </bean>
  </constructor-arg>
</bean>

    Hoffe, dies hilft jemand, der vielleicht in einer ähnlichen situation.

    • vielen Dank für die Einsicht . Ich bin versucht, die gleiche Sache, aber halten Sie auf, läuft in Fehler. ich würde gerne wissen, wie Sie damit umgegangen keyManager bean ? ich denke, diese Bohne ist notwendig, und es besteht darauf, um die privaten Schlüssel . dabei wird der öffentliche Schlüssel fehlen in der erstellten Metadaten importiert werden in ADFS
    InformationsquelleAutor Closeratio
Schreibe einen Kommentar