SAML Web SSO配置文件中是否需要响应签名?
上下文:我正在研究SAML服务提供商实现。我们正在实施SAML Web SSO配置文件,其中包含用于生成AuthnRequest的HTTP-ReDirect绑定和用于接受Saml响应的HTTP-Post绑定(Dropbox for Business等流行产品使用的典型设置)。我们的SPendpoint将对网络上的任何人公开访问,我们的断言消费者服务URL是HTTPS。
SAML 规范非常明确地说明了在 SamlResponse 消息中对断言进行签名:这是强制性的。但是,SAML 规范不清楚如何签署 SamlResponse 的封闭响应元素。它说它可能已签名,并且签名必须在存在时进行验证。但还有这样一句话:
当包含断言的响应消息通过用户的Web浏览器(例如使用HTTP POST绑定)传递给依赖方时,为了确保消息的完整性,要求使用XML签名对响应消息进行数字签名
Spring Security SAML库不需要存在此签名。SSOCircle SAML测试套件对于需要它的实现失败(SSOCircle在“积极”测试中使用没有它的Saml响应)。
那么,它在Web SSO profile中是必需的吗,为什么?
共有1个答案
请看一下本文档:http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf,第 68 页。它说SAML中并不总是需要数字签名。但是,在Springsaml中,您可以在securityContext中指定您想要签名的断言/响应。https://docs.spring.io/spring-security-saml/docs/current/reference/html/configuration-metadata.html#configuration-metadata-sp-generation
-
问题内容: 如何在node.js的文件夹中需要所有文件? 需要类似的东西: 问题答案: 给require给出文件夹的路径后,它将在该文件夹中寻找一个index.js文件。如果有一个,它会使用它,如果没有,它将失败。 如果您可以控制文件夹,那么创建一个index.js文件,然后分配所有“模块”,然后简单地要求就可以了。 yourfile.js index.js 如果您不知道文件名,则应该编写某种加载
-
问题内容: 我读了一些像这样的 AJAX-Form教程。标记 形式* 用于HTML代码。但是,我认为没有必要。由于我们通过 XmlHttpRequest 发送HTTP请求,因此发送的数据可以是任何东西,而不必以 form形式 输入 。 * 因此,是否有任何理由在HTML中为AJAX应用程序添加 表单 标签? 问题答案: 除了前面已经讨论渐进增强(不要让你的网站 需要 的JavaScript,直到它
-
需要使用Eclipse IDE在同一个存储库中创建两个Gradle Git项目。项目A依赖于第三方库(JAR、源代码、Javadoc和原生库),项目B依赖于项目A。 如果没有Gradle,将创建两个项目,并使用启用Git。然后,通过添加依赖项,然后是和(这也允许指定相关源代码、Javadoc和本机的位置)。这将支持从项目B自动完成项目A的代码,并在Eclipse中实现源代码和Javadoc集成。
-
这里有一个声明主子程序的简短Perl 6程序。我应该只看到输出,如果我直接执行程序: 当我直接执行程序时,我会看到输出: 如果将其作为模块加载,则看不到输出: 同样,如果我在程序内部使用它,我看不到输出: 但是,如果我使用,我会得到以下输出: Synopsis06字面上说编译单元是直接调用的,而不是被需要的。是否因为在运行时起作用(尽管S06不排除这一点)而发生了其他事情? 我在2016年7月和2
-
DocuSign中的查询会记住签名。想关掉那个功能和我的相似。我尝试了帖子中提到的答案,但没有帮助。