0
我需要驗證SAML Respone,身份提供商提供了元數據文件。根據元數據的內容驗證SAML響應的步驟是什麼?SAML2.0身份驗證(基於IDPSSODescriptor)
我需要驗證SAML Respone,身份提供商提供了元數據文件。根據元數據的內容驗證SAML響應的步驟是什麼?SAML2.0身份驗證(基於IDPSSODescriptor)
基於大多數聯合SAML系統的一個常見答案是您需要使用元數據中的公鑰來驗證已簽名的響應。如果使用公鑰驗證簽名是一個陌生的概念,那麼花一點時間閱讀PKI或「公鑰基礎結構」。然後,您應該轉到XML Signature Specification.
我注意到CAS使用SAML2,但不會在簽名上構建其信任基礎架構,但不會在允許展示令牌的服務提供商的白名單上構建其信任基礎架構。
如果您使用的是PKI信任模型,則簽名應位於<ds:Signature>
元素中。元數據應包含<KeyDescriptor>
元素中的公鑰,最好使用屬性use = signing。有關更多詳細信息,請參見the SAML Core specification的「5 SAML和XML簽名語法和處理」部分。
其他安全檢查包括:
感謝您的幫助。它基於PKI信任模型,我從元數據文件中獲得證書,SAML響應已根據元數據文件中的證書進行檢查。 –