问题：

spring security saml与vmware identity

公西天逸

2023-03-14

我正在使用spring-boot-security-saml-sample并试图将其与使用vmware identity appliance for SSO的应用程序挂钩。

我可以很好地运行vanilla示例应用程序，但当我更改IDP元数据以指向vmware identity server时，我遇到了一些问题。

我的应用程序使用了一个本地密钥库，其中包含一个私钥，我已经将证书从IDP元数据手动导入其中。当应用程序重定向时,我看到vmware identity server端出现错误：

java.lang.NullPointerException
com.vmware.identity.samlservice.impl.SamlServiceImpl.verifySignature(SamlServiceImpl.java:124)
com.vmware.identity.samlservice.AuthnRequestState.parseRequestForTenant(AuthnRequestState.java:341)
com.vmware.identity.BaseSsoController.processSsoRequest(BaseSsoController.java:63)
com.vmware.identity.SsoController.sso(SsoController.java:68)
sun.reflect.GeneratedMethodAccessor113.invoke(Unknown Source)
sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
java.lang.reflect.Method.invoke(Method.java:606)
org.springframework.web.method.support.InvocableHandlerMethod.invoke(InvocableHandlerMethod.java:215)
org.springframework.web.method.support.InvocableHandlerMethod.invokeForRequest(InvocableHandlerMethod.java:132)
org.springframework.web.servlet.mvc.method.annotation.ServletInvocableHandlerMethod.invokeAndHandle(ServletInvocableHandlerMethod.java:104)
org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.invokeHandleMethod(RequestMappingHandlerAdapter.java:749)
org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.handleInternal(RequestMappingHandlerAdapter.java:689)
org.springframework.web.servlet.mvc.method.AbstractHandlerMethodAdapter.handle(AbstractHandlerMethodAdapter.java:83)
org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:938)
org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:870)
org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:961)
org.springframework.web.servlet.FrameworkServlet.doGet(FrameworkServlet.java:852)
javax.servlet.http.HttpServlet.service(HttpServlet.java:621)
org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:837)
javax.servlet.http.HttpServlet.service(HttpServlet.java:722)

我的假设是我做错了，因为身份服务器在尝试verifySignature（）时出错了。我没有看到任何错误在我的应用程序。

    <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:vmes="http://vmware.com/schemas/attr-names/2012/04/Extensions" entityID="https://hostname:7444/websso/SAML2/Metadata/vsphere.local">
 <Extensions>
      <vmes:ExportedOn>2015-02-26T02:52:39Z</vmes:ExportedOn>
      <vmes:ExportedBy>Exported by VMware Identity Server (c) 2012</vmes:ExportedBy>
 </Extensions>
 <IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
      <KeyDescriptor xmlns:ds="http://www.w3.org/2000/09/xmldsig#" use="signing">
           <ds:KeyInfo>
                <ds:X509Data>
                     <ds:X509Certificate>...</ds:X509Certificate>
                     <ds:X509Certificate>...</ds:X509Certificate>
                </ds:X509Data>
           </ds:KeyInfo>
      </KeyDescriptor>
      <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://hostname:7444/websso/SAML2/SLO/vsphere.local"/>
      <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://hostname:7444/websso/SAML2/SLO/vsphere.local"/>
      <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
      <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat>
      <NameIDFormat>http://schemas.xmlsoap.org/claims/UPN</NameIDFormat>
      <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://hostname:7444/websso/SAML2/SSO/vsphere.local"/>
      <saml:Attribute FriendlyName="Groups" Name="http://rsa.com/schemas/attr-names/2009/01/GroupIdentity" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <saml:Attribute FriendlyName="givenName" Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <saml:Attribute FriendlyName="surname" Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <saml:Attribute FriendlyName="Subject Type" Name="http://vmware.com/schemas/attr-names/2011/07/isSolution" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <saml:Attribute FriendlyName="userPrincipalName" Name="http://schemas.xmlsoap.org/claims/UPN" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
      <saml:Attribute FriendlyName="email" Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
 </IDPSSODescriptor>
 <SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
      <KeyDescriptor xmlns:ds="http://www.w3.org/2000/09/xmldsig#" use="signing">
           <ds:KeyInfo>
                <ds:X509Data>
                     <ds:X509Certificate>...</ds:X509Certificate>
                     <ds:X509Certificate>...</ds:X509Certificate>
                </ds:X509Data>
           </ds:KeyInfo>
      </KeyDescriptor>
      <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://hostname:7444/websso/SsoClient/SLO/vsphere.local"/>
      <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
      <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat>
      <NameIDFormat>http://schemas.xmlsoap.org/claims/UPN</NameIDFormat>
      <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://hostname:7444/websso/SsoClient/SSO/vsphere.local" index="0"/>
 </SPSSODescriptor>

我对示例所做的唯一修改是更改元数据提供程序，将密钥库指向本地文件，将两个证书从元数据文件导入到密钥库中，将extendedMetadata指向引用其中一个证书的别名，并使用私钥作为签名密钥

知道会出什么问题吗？

共有1个答案

楚嘉纳

2023-03-14

我使用sigalg SHA1WithRSA将密钥库中的私钥改为RSA密钥，这似乎解决了这个问题。不确定vmware identity server是否限制了sigalg，但无论哪种方式，它看起来都是他们端的一个bug。为了完整起见,我使用以下命令创建了私钥：

keytool-genkey-alias server-keyalg RSA-sigalg SHA1WithRSA-keysize 2048-keystore mykeystore-dname“cn=www.mycompany.com,ou=it,o=mycompany,l=city,st=state,c=us”-storepass keystorepass

类似资料：

FCFS与SJF与RR

在C语言中，假设每个算法被赋予完全相同的一组进程，那么先到先得、最短作业优先和循环之间的周转时间是否相等？还是调度算法不同？
与

问题内容：为了为 HTML5 Doctype 定义字符集，我应该使用哪种表示法？短：长：问题答案：在HTML5中，它们是等效的。使用较短的一个，更容易记住和键入。浏览器支持很好，因为它是为向后兼容而设计的。
与

连接的多个输入都相当于Yes的时候才会输出Yes。用法 Your browser does not support the video tag. 案例：小闹钟功能：今天15：10：00，响起猫叫声小闹钟工作原理当所有的输入都是Yes的时候，与节点才输出Yes。
File.separator与FileSystem.getSeparator（）与System.getProperty（“ file.separator”）？

问题内容：似乎有三种相同的方法可以独立于平台获取依赖于平台的“文件分隔符”：我们如何决定何时使用哪个？它们之间甚至有什么区别吗？问题答案：可以通过调用命令行参数或使用命令行参数覆盖获取默认文件系统的分隔符。获取默认文件系统。获取文件系统的分隔符。请注意，作为一种实例方法，在需要代码在一个JVM中对多个文件系统进行操作的情况下，可以使用该方法将不同的文件系统传递给代码（而不是默认
HTML 与 XML - lxml 与 requests

lxml requests
Python DB-API：fetchone与fetchmany与fetchall

问题内容：我今天刚刚与一些同事讨论了python的db-api fetchone vs fetchmany vs fetchall。我确定每个应用程序的用例都取决于我正在使用的db-api的实现，但是总的来说，fetchone，fetchmany，fetchall的用例是什么？换句话说，以下等效项是什么？还是其中之一比其他人更受青睐？如果是这样，在哪些情况下？问题答案：我认为这确实取决于
HTML5画布与SVG与div

问题内容：即时创建元素并能够移动元素的最佳方法是什么？例如，假设我要创建一个矩形，圆形和多边形，然后选择这些对象并四处移动。我了解HTML5提供了三个使之成为可能的元素：svg，canvas和div。对于我想做什么，这些元素中的哪一个将提供最佳性能？为了比较这些方法，我正在考虑创建三个视觉上相同的网页，每个网页中都有页眉，页脚，小部件和文本内容。第一页中的小部件将完全使用元素创建，第二页中的
window.onload与body.onload与document.onready [重复]

问题内容：之间有什么区别，和？问题答案：将等待，直到所有资产完成下载为止，例如图像和脚本。 DOM准备就绪，直到您可以通过API访问DOM为止。作为一个方面说明，在当今这个时代，你应该使用或较旧的IE。

spring security saml与vmware identity

共有1个答案

相关问答

相关文章

相关阅读

相关工具

相关文档