Warum ist das SAML 2.0 AuthnRequest ungültig?
Ich habe C# - code zu erzeugen, die ein SAML 2.0 AuthnRequest:
String requestXML = "<samlp:AuthnRequest xmlns:samlp=\"urn:oasis:names:tc:SAML:2.0:protocol\" xmlns:saml=\"urn:oasis:names:tc:SAML:2.0:assertion\" ID=\"https://saml.example.com/login\" Version=\"2.0\" IssueInstant=\"" + DateTime.Now.ToString("yyyy-MM-ddTHH:mm:ss") + "\" AssertionConsumerServiceIndex=\"0\"><saml:Issuer>https://saml.example.com/login</saml:Issuer><samlp:NameIDPolicy AllowCreate=\"true\" Format=\"urn:oasis:names:tc:SAML:2.0:nameid-format:transient\"/></samlp:AuthnRequest>";
String convertedRequestXML = System.Convert.ToBase64String(System.Text.ASCIIEncoding.ASCII.GetBytes(requestXML));
return Redirect("https://idp.ssocircle.com:443/sso/SSORedirect/metaAlias/ssocircle"+ "?SAMLRequest=" + convertedRequestXML + "&RelayState=" + HttpUtility.UrlEncode("/SamlLogin?ReturnUrl=" + returnurl));Mit meiner eigentlichen domain-Namen anstelle der example.com. Ich habe diese bis auf https://ssocircle.com/ mit der SP-Metadaten wie dieser
<md:EntityDescriptor
xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
entityID="https://saml.example.com/login">
<md:SPSSODescriptor
protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:AssertionConsumerService index="0"
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://saml.example.com/login" />
</md:SPSSODescriptor>
<md:Organization>
<md:OrganizationName xml:lang="en">
example
</md:OrganizationName>
<md:OrganizationDisplayName xml:lang="en">
example
</md:OrganizationDisplayName>
<md:OrganizationURL xml:lang="en">
http://www.example.com/
</md:OrganizationURL>
</md:Organization>Jedoch, die Seite wieder mit:
Error occurred
Reason: The SAML Request is invalid. Und unhelpfully, keine anderen Fehler. Ich habe auch versucht die Einstellung mit https://openidp.feide.no aber, dass nur wieder eine leere Seite mit "500 server error".
Mein get-string kommt, wie
https://idp.ssocircle.com/sso/SSORedirect/metaAlias/ssocircle?SAMLRequest=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&RelayState=%2fSamlLogin%3fReturnUrl%3d31lOpEvtWshJNDa314yOgw%3d%3dDie https://idp.ssocircle.com/sso/toolbox/samlDecode.jsp ist 'decodieren' und https://rnd.feide.no/simplesaml/module.php/saml2debug/debug.php kommt mit
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="https://saml.example.com/login" Version="2.0" IssueInstant="2014-09-11T09:31:57" AssertionConsumerServiceIndex="0"><saml:Issuer>https://saml.example.com/login</saml:Issuer><samlp:NameIDPolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/
��[[�]]��\]Y\�Ich habe auch versucht, mit ähnlichen Ergebnissen
String convertedRequestXML = System.Convert.ToBase64String(System.Text.UTF8Encoding.UTF8.GetBytes(requestXML));Meine Fragen sind
1) Ist mein SAML AuthnRequest eigentlich gültig?
2) Ist meine encoding-Methode, die richtige?
3) gibt es bessere tools, die ich verwenden können, um zu Debuggen? Diese Seiten geben nicht heraus alle hilfreich (oder überhaupt) Fehlermeldungen, wenn etwas schief geht
- Sie könnten versuchen, ein drehen auf der System.Net Ablaufverfolgung. Es könnte Ihnen zeigen, mehr Informationen über die ausgehende Anfrage und Ihre damit verbundenen Reaktion. Siehe MSDN für details darüber, wie dies zu tun.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Es ist nicht genug, um die Base64-Kodierung der Anforderung, Sie müssen auch etwas tun, rief ernüchternd.
Lesen Sie die Kapitel über die HTTP redirect binding.
Gibt es eine Erklärung, wie defalte in C# hier