0
我需要驗證SAML Respone,身份提供商提供了元數據文件。根據元數據的內容驗證SAML響應的步驟是什麼?SAML2.0身份驗證(基於IDPSSODescriptor)
A
回答
0
基於大多數聯合SAML系統的一個常見答案是您需要使用元數據中的公鑰來驗證已簽名的響應。如果使用公鑰驗證簽名是一個陌生的概念,那麼花一點時間閱讀PKI或「公鑰基礎結構」。然後,您應該轉到XML Signature Specification.
我注意到CAS使用SAML2,但不會在簽名上構建其信任基礎架構,但不會在允許展示令牌的服務提供商的白名單上構建其信任基礎架構。
如果您使用的是PKI信任模型,則簽名應位於<ds:Signature>元素中。元數據應包含<KeyDescriptor>元素中的公鑰,最好使用屬性use = signing。有關更多詳細信息,請參見the SAML Core specification的「5 SAML和XML簽名語法和處理」部分。
其他安全檢查包括:
- 是否有 「InResponseTo」 屬性?從核心:「...它必須存在,其值必須匹配相應的請求ID 屬性的值。」
- 是否有「目標」屬性?從核心:「如果它存在,實際收件人必須檢查URI參考標識郵件的接收位置,如果不是,則必須丟棄該響應。」
相關問題
- 1. 基於不依賴表單身份驗證的基於Cookie的身份驗證
- 2. 基於角度令牌的基於身份驗證的驗證
- 3. 基本身份驗證改造+基本身份驗證
- 4. 基於角色的身份驗證
- 5. 基於Spring Boot Token的身份驗證
- 6. 基於URL的身份驗證鏈接
- 7. 基於XMLHttpRequest的Windows身份驗證
- 8. 創建基於http的身份驗證
- 9. 基於Oracle表的身份驗證
- 10. 基於Flask的API的身份驗證?
- 11. ASP.NET窗體基於身份驗證
- 12. 基於Java的用戶身份驗證
- 13. 基於表單的身份驗證
- 14. 使用Node.js和SPA進行SAML2.0身份驗證
- 15. AngularJS基本身份驗證
- 16. 基本socket.io身份驗證
- 17. CQ基本身份驗證
- 18. Wcf基本身份驗證
- 19. tomcat基本身份驗證
- 20. 基本身份驗證
- 21. Ajax:HTTP基本身份驗證和身份驗證Cookie
- 22. Authlogic - 通過基本HTTP身份驗證進行身份驗證
- 23. CakePHP 2.0身份驗證和基本身份驗證
- 24. RESTful端點的身份驗證 - 基本身份驗證和XHR
- 25. 禁用其他身份驗證的HTTP基本身份驗證
- 26. 基於主機的身份驗證和基於密鑰的身份驗證之間的區別
- 27. 基於會話的身份驗證或基於令牌的身份驗證哪一個使用?
- 28. 基於Cookie的基於Cookie的身份驗證
- 29. 在Grails中支持基本身份驗證和基於表單的身份驗證
- 30. Scala Lift:基於表單的登錄和HTTP基本身份驗證的統一身份驗證?
感謝您的幫助。它基於PKI信任模型,我從元數據文件中獲得證書,SAML響應已根據元數據文件中的證書進行檢查。 –