12
當簽署也有簽名聲明的SAML響應時,我應該:簽署或不簽署聲明簽名的SAML響應?
A)生成沒有聲明簽名的響應簽名。然後在兩個簽名生成後注入聲明簽名。
B)生成聲明簽名並在生成響應簽名時包含它。
C)別的。
〜預先感謝!
A
回答
6
我相信正確答案是B)。首先簽署聲明,然後簽署包含已簽名聲明數據的響應。但是,如果一個簽發者/實體(STS/IDP/etc)簽署兩者,那麼簽署該斷言是沒有真正理由的?只需簽署應包含斷言數據的協議消息/響應。這將減少SP的處理需求。對於Web SSO,我只有在簽署斷言與響應的不同實體時纔會看到兩個部分簽名。 - Ian
5
如果您同時對兩個簽名進行簽名,則必須首先簽署斷言,然後簽署響應,因爲響應簽名將基於響應的全部內容(包括斷言簽名)。因此,對第二個斷言進行簽名會使響應簽名無效。
35
SAML是可怕的,我每次看他們的回答幾乎都是正確的時間,這裏是正確的算法蒸餾水:
- SHA1斷言的規範版本。
- 生成與SHA1簽名
- 簽署的SignedInfo XML片段,再次規範形式
- 採取的SignedInfo,簽名和密鑰信息,並創建一個簽名XML片段
- 插入此SignatureXML一個SignedInfo中的XML片段進入斷言(應該在SAML前右:主題)
- 不德斷言(與包括簽名),並插入響應
- SHA1這種反應
- 生成SignedI與SHA1簽名
- 簽署的SignedInfo XML片段,再次規範形式
- 採取的SignedInfo,簽名和密鑰信息,並創建一個簽名XML片段
- 插入此SignatureXML到響應NFO XML片段
- 將XML版本信息添加到響應中。
就是這樣。 SAML是完全可怕的。有許多微妙的東西使得實現SAML成了一場噩夢(例如計算XML子集的標準形式(斷言),也不包括XML文檔的XML版本。希望永遠不要再次重溫這種痛苦。
0
正確答案是B.
如果聲明方使用A簽署SAML響應,則在驗證SAML響應之前,依賴方必須刪除SAML響應的簽名和SAML聲明的簽名。 SAML核心規範規定,不得使用包絡簽名轉換或獨佔標準化轉換以外的轉換來生成簽名。這兩個轉換都不能刪除SAML斷言的簽名。因此,依賴方無法驗證SAML響應。
相關問題
- 1. 如何使用Open SAML簽署SAML響應
- 2. SAML聲明上的必需簽名
- 3. 如何使用openssl(.PCKS8)文件簽署saml 2.0聲明
- 4. 如何使用Spring Security SAML擴展名簽署SAML請求/響應
- 5. 自簽名證書是否可供簽署SAML令牌?
- 6. 是什麼?簽署此聲明?
- 7. SAML響應和斷言是否已簽名/未簽名?
- 8. 未簽名的-1 = -1簽署
- 9. 無法簽署未簽名的APK
- 10. 獲取簽名的數據在簽署
- 11. 使用獨立簽名簽署文件
- 12. Docusign簽名者是否可以查看和簽署文檔或僅簽名?
- 13. 託管C++強名/簽署
- 14. SAML簽名問題
- 15. 簽署組件
- 16. SimpleDB HMAC簽署
- 17. 簽署android apk
- 18. tycho&jar簽署
- 19. 如何簽署VSTO部署?
- 20. 簽署Android應用程序
- 21. 簽署VB.NET應用程序
- 22. Windows應用程序簽署
- 23. 簽署AIR應用程序
- 24. 簽署TideSDK應用程序
- 25. 簽名驗證在Wso2IS中的SAML聲明失敗
- 26. 在PHP中創建SAML 1.1中的簽名聲明
- 27. 聲明函數,在簽名
- 28. Sparkle appcast簽名:更新簽署不正確
- 29. 不能簽署分配
- 30. cognitoUser.signOut()不簽署用戶出