AWS SSO-您的请求包含无效的SAML响应
我试图实现一个SAML IdP执行SSO到AWS控制台(IdP发起的SSO)。
我用Samlify来建立SAMLResponse。
https://samlify.js.org
Samlify正在生成在Base64中编码的SAML响应。
然后我得到这个SAMLResponse,并使用SAML在线工具对其进行URL编码(https://www.samltool.com/url.php)
然后,我使用Postman发出HTTP POST请求,并对SAMLResponse Base64 URL进行编码。
但AWS总是返回相同的错误:
您的请求包含无效的SAML响应。要注销,请单击此处。
我能够成功地对IAMShocase(SAML测试服务提供商)执行SSO(https://sptest.iamshowcase.com).但是我无法SSO到AWS控制台。
以下是SAMLResponse(Base64解码):
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_id-teste-001" Version="2.0" IssueInstant="2020-10-01T14:56:34.715Z" Destination="https://signin.aws.amazon.com/saml">
<saml:Issuer>https://idp.example.com/idp/shibboleth</saml:Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_f8f8de1b-8e00-4b3b-a3cc-e1e6194daae6" Version="2.0" IssueInstant="2020-10-01T14:56:34.715Z">
<saml:Issuer>https://idp.example.com/idp/shibboleth</saml:Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<ds:Reference URI="#_f8f8de1b-8e00-4b3b-a3cc-e1e6194daae6">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<ds:DigestValue>UBvDMLrAcqgjWu/2InE1OG091db+o44ZVxEMBHJ1eMQ=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>R1THFfDoE62157Jn4D/6e9TeJfzlJJ6X+6evVa6k4jkLiwW2VNGfFRY0FYomeWoe8VV+4FUw1hwz3metKL0Mh080UafY4V4/PwRPqy1N3MJOp2V1UVy4SLC7amzw8UA1yTh5UNHC34ct9A7HN4+jP+69RUoAWZng1MXx+5jgS7s=</ds:SignatureValue>
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>MIIC0jCCAjugAwIBAgIBADANBgkqhkiG9w0BAQ0FADCBhTELMAkGA1UEBhMCdXMx
DTALBgNVBAgMBHRlc3QxDTALBgNVBAoMBHRlc3QxGDAWBgNVBAMMD2lkcC5leGFt
cGxlLmNvbTENMAsGA1UEBwwEdGVzdDENMAsGA1UECwwEdGVzdDEgMB4GCSqGSIb3
DQEJARYRdGVzdGVAZXhhbXBsZS5jb20wHhcNMjAxMDAxMTQyNjE2WhcNMjExMDAx
MTQyNjE2WjCBhTELMAkGA1UEBhMCdXMxDTALBgNVBAgMBHRlc3QxDTALBgNVBAoM
BHRlc3QxGDAWBgNVBAMMD2lkcC5leGFtcGxlLmNvbTENMAsGA1UEBwwEdGVzdDEN
MAsGA1UECwwEdGVzdDEgMB4GCSqGSIb3DQEJARYRdGVzdGVAZXhhbXBsZS5jb20w
gZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMihvGtOfE9zViC2Q42YAexYBCRn
IyeLNrjGrb7640Gb63E0Hf+WS1EIIMMd3PtgFZ+Q1ztLoR9y1HJ/sIqv80jwa9k7
5v7q0fUPyJh++w5W0f701G4SCzbOqr3mxGy0BfUBZBuFYa+GCaRLckojSu4fs/6U
djrTg3Z/+BGMW0xbAgMBAAGjUDBOMB0GA1UdDgQWBBRVGU/JBBxfSxwkhxZ4afM0
+9jCzjAfBgNVHSMEGDAWgBRVGU/JBBxfSxwkhxZ4afM0+9jCzjAMBgNVHRMEBTAD
AQH/MA0GCSqGSIb3DQEBDQUAA4GBACVOb80MpJqAQo1SAIMdaIZzDBJ7H+/VNe2O
3iGNmrtO15mgbAsI5jTGyJZYLsmabB/XfDP5tCeXeyBay4NyhR0mL2klqNXxm1N/
JnE1vHXJNtmnWYJMKoOQkG/UsFm+mL2lCH9QNhLc3o843M9/pliUASKoM5ooCRH9
jxdeicXE</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">daniel@example.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2020-10-01T15:01:34.715Z" Recipient="urn:amazon:webservices"/>
</saml:SubjectConfirmation>
</saml:Subject>
<saml:Conditions NotBefore="2020-10-01T14:56:34.715Z" NotOnOrAfter="2020-10-01T15:01:34.715Z">
<saml:AudienceRestriction>
<saml:Audience>urn:amazon:webservices</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/Role" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">arn:aws:iam::999999999999:role/Teste-SAML-Role,arn:aws:iam::999999999999:saml-provider/TestSAMLProvider</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/RoleSessionName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">mynameinsp</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
</saml:Assertion>
</samlp:Response>
邮递员HTTP代码:
POST /saml HTTP/1.1
Host: signin.aws.amazon.com
Content-Type: application/x-www-form-urlencoded
Cookie: aws-ubid-main=641-7565665-7658187
SAMLResponse=PHNhbWxwO.....zcG9uc2U%2B
这种同样的反应有什么问题?
共有1个答案
以下是我如何解决的:
>
将主题确认数据的收件人从“urn:amazon:webservices”更改为https://signin.aws.amazon.com/saml"
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2020-10-08T22:34:05.626Z" Recipient="https://signin.aws.amazon.com/saml"/>
</saml:SubjectConfirmation>
包括一个缺少的Authn语句:
<saml:AuthnStatement AuthnInstant="2014-07-17T01:01:48Z" SessionNotOnOrAfter="2024-07-17T09:01:48Z" SessionIndex="_be9967abd904ddcae3c0eb4189adbe3f71e327cf93">
<saml:AuthnContext>
<saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
XML开头包含的编码:
<代码>
-
在使用OpenAM和Spring security saml2示例时,我遇到了一个问题。 我按照本教程配置了Spring saml2示例以及OpenAM。现在,我在选择 http://localhost:8080/OpenAM-12.0.0 并单击登录后遇到错误,但浏览器返回“HTTP状态500 - SAML请求无效”。 示例项目和OpenAM都部署在同一个tomcat服务器上,但是我没有在任何日
-
我为我们的一个客户开发了一个定制的SAML IdP。但是,当试图将以下响应传递给SP时,它失败了。我尝试使用一些在线SAML在线工具来验证响应,我看到了一些错误,但我不知道哪里出了问题。有人能帮忙吗? 在samltool.com上使用验证器,我得到以下错误: XML无效。 行:69列:0-->元素‘{http://www.w3.org/2000/09/xmldsig#}signature':不需要
-
我已经开发了一个Java web应用程序,我想实现SAML。我认为这些是实现SAML的正确步骤。 服务提供商(SP,在本例中是我的应用程序)向IdP发送SAML身份验证请求 然后,IdP对其进行验证,创建SAML响应断言,并将其与证书一起签名,然后发送回SP。 然后,SP使用密钥库中证书的公钥对其进行验证,并在此基础上进一步进行 我有一个示例代码,可以创建SAML请求 我可以对其进行编码并发送给I
-
我在使用Spring-SAML的webapp中看到了极其复杂和不一致的行为。 根据url模式选择两个IDP-使用CustomSAMLContextProviderImpl实现(基于url工作良好,它重定向到配置的IDP) 使用带有ExtendedMetadataManager列表的CachingMetadataManager配置了两个SAML Provider/IDP。基于此处的解释和代码示例 S
-
我使用Localstack和Test容器((test容器: localstack: 1.15.2))进行集成测试,并在测试设置中设置秘密,如下所示:代码示例 现在,测试因错误而崩溃: com.amazonaws.services.secretsmanager.model.AWSSecretsManagerException:请求中包含的安全令牌无效。(服务:AWSSecuresManager;状态
-
我是新来的AWS和我试图执行CRUD操作本地DynamoDB从一个Java程序。Java程序是一个AWS示例。 我安装了AWS CLI并设置了以下配置-根据AWS文档,我不需要本地DynamoDB的真正AWS访问和密钥。 我在~/中设置了以下值。aws/config和~/。通过在aws CLI中运行aws configure获得aws/credentials。 我有本地DYnamoDB JAR与此