验证IDP启动的SAML2.0响应
SAML专家请帮忙!!!!
我对SAML和JSP非常陌生。我想使用java(Environment linux,Tomcat6.0)中的Opensaml库验证IDP(identity provider)启动的SAML响应令牌,并检索发送的属性信息,如用户ID、用户名、电子邮件。SAML响应没有加密,我的java密钥库中安装了idp的信任证书。SAML令牌配置文件是“web浏览器SSO”,它使用HTTP-POST绑定。证书中有一个公钥。我需要私钥来验证吗?成功验证需要采取哪些步骤?仅仅一个数字签名验证就足以信任来源了吗?我应该做配置文件验证还是其他什么?以下是我将从IDP收到的SAML回复。如果你需要更多信息,请告诉我?抱歉,我没有提供足够的信息。请帮帮我。。。提前谢谢。
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="XYZ" Version="2.0" IssueInstant="2013-07-10T16:43:54Z" Destination="http://www.testsp.com">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">http://www.testidp.com:8080/opensso</saml:Issuer>
- <samlp:Status xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<samlp:StatusCode xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
</samlp:Status>
- <saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="xyz" IssueInstant="2013-07-10T16:43:51Z" Version="2.0">
<saml:Issuer>http://www.testidp.com:8080/opensso</saml:Issuer>
- <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
- <ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
- <ds:Reference URI="#xyz">
- <ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<ds:DigestValue>...hdfb3454jh545dfbj545423df....=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>..................hsdgysgdyyusgfdfb98738e43hjrg874y474h7y8r............=</ds:SignatureValue>
- <ds:KeyInfo>
- <ds:X509Data>
<ds:X509Certificate>............./KPm0qLP8vCOhyI76AUE6jL NFeTlcAe3B6hOdfKCiu+EtHeZC2i/8jf1rHDNPey4TS1MQj/.......
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
- <saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" NameQualifier="http://www.testidp.com:8080/opensso" SPNameQualifier="http://www.testsp.com">....Zeq8NhJKRKDXUwx67ytuynwj4n...</saml:NameID>
- <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2013-07-10T16:53:51Z" Recipient="http://www.testsaml.com/tespsamlmodule" />
</saml:SubjectConfirmation>
</saml:Subject>
- <saml:Conditions NotBefore="2013-07-10T16:33:51Z" NotOnOrAfter="2013-07-10T16:53:51Z">
- <saml:AudienceRestriction>
<saml:Audience>http://www.testsaml.com/tespsamlmodule</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
- <saml:AuthnStatement AuthnInstant="2013-07-10T16:36:35Z" SessionIndex="......erer54t54y45y75666y65y65y....">
- <saml:AuthnContext>
<saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
- <saml:AttributeStatement>
- <saml:Attribute Name="UID">
<saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">ab123</saml:AttributeValue>
</saml:Attribute>
- <saml:Attribute Name="uname">
<saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">robert</saml:AttributeValue>
</saml:Attribute>
- <saml:Attribute Name="EmailAddress">
<saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">robert@example.com</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
</saml:Assertion>
</samlp:Response>
共有2个答案
以下是我在我的WEB应用程序上为IDP启动的SAML响应实现单点登录功能所遵循的步骤。
先决条件:
- 为opensaml java库导入所有必需的和依赖的jar文件。
- 将IDP的数字证书上传到您的java密钥库。
- 在您的服务器上创建一个负责SAML身份验证的JSP文件。
- 对收到的SAML消息进行不同类型的验证,以确保源(siganture验证)、消息完整性(引用验证)和断言验证(检查断言有效性时间)。
代码:本博客提供了一个很好的示例,可以帮助您构建自己的SAML SP安装。
http://mylifewithjava.blogspot.no/2012/11/verifying-signatures-with-opensaml.html
从他们的archieve中下载所有必需的jar文件,这将节省您大量时间下载依赖版本的jar。http://www.capcourse.com/Library/OpenSAML
您需要根据SAML规范验证响应。在OpenSAML中执行此操作有一些功能,但我似乎最安全的选择是编写自己的验证代码。看。http://marc.info/?t=137354098500007
您还必须验证签名。与所有签名验证一样,您使用公钥。以下是我在博客上写的一些关于OpenSAML签名验证的文章。https://blog.samlsecurity.com/2012/11/verifying-signatures-with-opensaml.html
在我的书《OpenSAML指南》中,我有更多关于使用OpenSAML进行签名和加密的内容
-
OpenAM是否依赖于注册IDP的公钥来使SAML响应多样化 或还取决于来自IDP-like算法的SAML响应中的哈希算法=”http://www.w3.org/2000/09/xmldsig#sha1“” 注意OpenAM版本:13.0.0
-
如何从SAML响应中判断是SP启动的SSO还是IDP启动的SSO?是否有一个属性告诉我是谁发起了SSO? 例如,在这个StackOverflow问题中:SP发起的SSO和IDP发起的SSO之间的差异,他们讨论了差异,但没有谈论XML级别本身...... SAML响应如下所示:
-
我创建了一个在下运行的应用程序。IdP发起的身份验证调用一个POST,该POST具有对强制约定。但是spring saml中的ConsumerURL位于下。我试图通过
-
我正在寻找针对SAML IDP的-验证移动应用用户的解决方案,并且有一些基本的查询(我是SAML的新手,OAuth:))在这种情况下,流程可能就像移动用户将被IDP验证一样,即SAML响应由IDP生成的信息被发送到服务提供商(通过移动浏览器-Webview)。然后,服务提供商将创建一个令牌,该令牌将由移动应用用于后续调用。这种认识正确吗? 此外,移动用户如何在IDP进行身份验证,我的意思是,相应的
-
我使用SPRING SAML实现并充当SP(例如:ALPHA)。我能够执行SP启动的SSO,并能够使用IDP对用户进行身份验证。此实现中没有问题。 但在我的应用程序中,我需要访问另一个与同一IDP链接的SP(例如:BETA)url。ALPHA和BETA服务提供商都受到同一IDP的信任。在这种情况下,在通过SP INIT SSO使用IDP对用户进行ALPHA身份验证后,当BETA SP URL发生重
-
目前,我们的identity server安装了Sustainsys/Saml2扩展,允许三方客户端通过sso登录到我们的产品,其中客户endpoint击我们的登录页面启动请求。 我们现在有一个客户,您希望在其自己的软件中添加链接以启动该过程,创建ldp启动的请求。 我的问题是如何使用identity server和Saml2AuthExtensions实现这一点。我已经看过了,我看不到任何额外的