如何在node.js中创建SAML断言签名
在Node.js中创建SAML断言签名,可以通过使用相应的库和模块来实现。以下是一个基本的步骤指南:
- 首先,确保你已经安装了Node.js和npm(Node包管理器)。
- 使用npm安装所需的库和模块。在命令行中运行以下命令:
npm install xml-crypto
npm install xml-encryption
npm install xmlbuilder
npm install xmldom- 创建一个Node.js脚本文件,例如
saml-sign.js。 - 在脚本文件中引入所需的模块:
const crypto = require('crypto');
const xmlCrypto = require('xml-crypto');
const xmlEncryption = require('xml-encryption');
const xmlBuilder = require('xmlbuilder');
const DOMParser = require('xmldom').DOMParser;- 定义SAML断言的相关信息,例如签名算法、证书等:
const signingAlgorithm = 'http://www.w3.org/2001/04/xmldsig-more#rsa-sha256';
const privateKey = '-----BEGIN PRIVATE KEY-----\n[Your Private Key]\n-----END PRIVATE KEY-----';
const certificate = '-----BEGIN CERTIFICATE-----\n[Your Certificate]\n-----END CERTIFICATE-----';- 创建一个函数来生成SAML断言:
function createSamlAssertion() {
// 创建SAML断言的XML文档
const xml = xmlBuilder.create('saml:Assertion', { version: '1.0', encoding: 'UTF-8' })
.att('xmlns:saml', 'urn:oasis:names:tc:SAML:1.0:assertion')
.att('xmlns:xsi', 'http://www.w3.org/2001/XMLSchema-instance')
.att('xsi:schemaLocation', 'urn:oasis:names:tc:SAML:1.0:assertion SAMLAssertion.xsd')
.ele('saml:Issuer', 'Your Issuer')
.up()
.ele('saml:Conditions')
.up()
.ele('saml:AuthenticationStatement')
.up()
.ele('saml:AttributeStatement')
.up()
.end({ pretty: true });
// 对SAML断言进行签名
const sig = new xmlCrypto.SignedXml();
sig.addReference("//*[local-name(.)='Assertion']");
sig.signingKey = privateKey;
sig.signatureAlgorithm = signingAlgorithm;
sig.computeSignature(xml.toString());
// 将签名添加到SAML断言的XML文档中
const signedXml = sig.getSignedXml();
const doc = new DOMParser().parseFromString(signedXml);
const signature = doc.getElementsByTagName('Signature')[0];
xml.root().addChild(signature);
// 返回SAML断言的XML文档
return xml.toString();
}- 调用
createSamlAssertion函数来生成SAML断言:
const samlAssertion = createSamlAssertion();
console.log(samlAssertion);这样,你就可以在Node.js中创建SAML断言签名了。请注意,上述代码仅提供了一个基本的示例,实际应用中可能需要根据具体需求进行调整和扩展。
关于SAML断言签名的更多详细信息和相关概念,你可以参考腾讯云的文档:
相关·内容
我需要通过Postman手动执行OAuth 2中的SAML承载断言流,以证明它可以与我们的后端一起工作。因此,我创建了自己的SAML断言文件,使用1作为参考(稍微向下滚动一点以查看SAML断言示例)。
我想知道为什么数字签名( XML元素ds:SignatureValue的值)是包含SAML断言的文件的一部分。当然,我不能在要签名的东西中包含签名。所以我想知道断言的哪一部分被签名了。
浏览 5提问于2017-05-09得票数 0
我是这里的服务提供商,我使用C#。我的客户端发送SAML响应,在允许用户访问我的服务之前,我尝试验证SAML响应。对于这个特定的客户端,它将抛出无法在该行上强制转换错误,
SAMLAssertion samlAssertion = new SAMLAssertion((XmlElement)(samlResponse.Assertions[0]));
这里,SAMLResponse是samlResponse的一个对象。断言在samlResponse中存在,但它无法将该断言转换为XmlElement。错误,
无法将'ComponentSpace.SAML2.Assertions.SAM
浏览 0提问于2018-09-05得票数 2
SAML响应+ SAML断言都是在发送回响应时分别签名的。
但是SAML响应包含SAML断言。后者实际上是前者的一个子集。那么,分别签署这两个协议有什么用呢?换句话说,如果我们对SAML响应的哈希签名,那么它也会自动验证SAML断言。也没有理由单独签署SAML断言。
为什么在发送SAML响应时都进行了签名?
浏览 0提问于2022-09-12得票数 0
回答已采纳
我需要验证这种SAML断言:
<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" ID="Assertion-uuide824d44-0134-14b1-8e70-f85c710cb043" IssueInstant="2011-12-05T1
浏览 0提问于2011-12-05得票数 2
问题
OneloginPHPSAMLSdk::processResponse()处理加密消息失败。
OneloginPHPSAMLSdk::processResponse()成功地处理了包含签名SAML断言的签名SAML响应。
但是,如果包含签名SAML断言的相同签名SAML响应被加密,那么OneloginPHPSAMLSdk::processResponse()将无法处理加密的SAML响应。在这种情况下,解密是成功的,但是XML失败了saml-schema-protocol-2.0.xsd验证。
摘要:
未加密消息成功:
SAML响应消息中的SAML断言被签名。
SAML响应消息被签
浏览 1提问于2016-11-02得票数 0
我在签署以下saml消息时遇到了一些问题:
<?xml version="1.0" encoding="UTF-8"?>
<saml2p:Response xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" Destination="https:
浏览 8提问于2018-07-06得票数 1
我们在OpenAM配置中标记了“断言签名”,
如果来自IDP的SAML响应被签名,而SAML断言没有签名,OpenAM会认为这个SAML响应是一个有效的SAMLResponse吗?
注:开放版13.0.0
浏览 6提问于2019-11-21得票数 0
回答已采纳
我正在测试一个使用SAML的web应用程序。SAML响应具有签名,如果数据被篡改,将正确验证它。但是我注意到,当签名被完全删除时,对SP的身份验证就会成功。通常,这里的问题/漏洞是什么,但是断言数据是加密的,所以我无法修改任何数据。
例如,我可以使用管理级别的用户登录,存储响应并让它过期。然后,我与较低级别的用户登录,停止响应和更改IssueInstant等值以获得过期,并将管理员级用户加密的值复制到响应中,但随后我得到断言过期的响应。因此,断言似乎包括自己的过期时间,即加密数据中的过期时间。
在上面的场景中,攻击者当然可以以某种方式访问admin的旧SAML响应(访问admin的浏览器缓存或
浏览 0提问于2018-12-12得票数 0
2回答
我们正在尝试建立一个与思科WebEx的自定义SAML集成。但是,WebEx SP在将SAML响应发送到WebEx后一直抱怨“无效的数字签名”。
我们已经检查了SAML响应、签名证书和SAML事务的Fiddler跟踪。没有什么是不寻常的。我们已经为其他几个服务这样做了,没有遇到任何问题。
是否有一个好的工具可以帮助我们调试为什么WebEx认为数字签名无效?
浏览 6提问于2015-01-18得票数 0
回答已采纳
我使用 5.0.0作为身份代理。我已经连接到G套件作为一个SAML应用程序。我已经将其他SAML应用程序连接到G Suite,因此我知道操作,并将G Suite元数据XML导入SAML,因此我确信X.509键是正确的,但出于某种原因,如果我在Keycloak中选择“验证签名”,验证就会失败。日志上写着
ERROR [org.keycloak.broker.saml.SAMLEndpoint] validation failed
WARN [org.keycloak.events] type=IDENTITY_PROVIDER_RESPONSE_ERROR, realmId=master, c
浏览 0提问于2019-05-01得票数 0
回答已采纳
我有一个小的测试应用程序,我已经成功地与Okta集成作为IdP。我还设置了AWS SSO作为IdP。当我将我的应用程序切换到使用AWS SSO时,我收到以下错误: ITfoxtec.Identity.Saml2.Cryptography.InvalidSignatureException: Signature is invalid.
at ITfoxtec.Identity.Saml2.Saml2Request.ValidateXmlSignature(SignatureValidation documentValidationResult)
at ITfoxtec.Identi
浏览 49提问于2021-07-29得票数 2
根据他们的网站提供了一个随时可以使用的身份提供者。我想模拟SAML,并在bluemix中的应用程序中集成它。
我到目前为止所做的:
从“管理元数据”下载SSOCircle公共IDP元数据。通过上传文件按钮将其上传到bluemix服务中,并在service安装中的“步骤1”下的文本框中输入。
在SAML企业设置中的“步骤2”下下载SAML元数据,并在SSOCircle中导入它。我使用的FQDN是:。
按马丁的建议编辑**更改为的URL
在整合之后。我将浏览器指向,然后单击“使用SAML登录”。
我被转到了。我登录了并遇到了一个错误
浏览 10提问于2015-08-05得票数 3
回答已采纳
1回答
我们在我们的Spring Security SAML应用程序中使用Spring Security SAML (v1.0.3)来实现带有IDP的SAML。
Requirement:仅接受来自IDP的签名SAML响应消息,如果未签名SAML响应,则抛出异常。
实际结果:即使SAML响应消息中完全缺少签名信息,它也被接受,Security库不会抛出异常。
观测:
如果SAML登录响应消息中存在错误的签名信息,那么它将引发一个正确的异常。
对于注销消息,扩展元数据生成器中有属性requireLogoutRequestSigned和requireLogoutResponseSigned,这些属性
浏览 0提问于2018-08-08得票数 0
2回答
是否可以使用自签名证书对SAML 2.0帖子进行签名?我负责与使用SAML 2.0的供应商实现新的SSO过程,我们试图确定是否可以使用自签名证书签署SAML帖子,或者是否需要购买一个。
如果我们可以使用自签名证书,服务提供商是否需要执行其他步骤来验证签名?我们正在创建SAML 2.0帖子作为身份提供者。
提前谢谢。
浏览 2提问于2012-05-01得票数 6
2回答
作为服务提供者,我试图通过从身份提供者(IdP)获得SAML断言(SAML1.0)来验证页面上的用户。执行以下步骤(非常抽象):
用户访问我的页面
我将用户重定向到用户身份验证的IdP
我得到一个SAML工件,我用它从IdP请求SAML断言
IdP将SAML断言直接发送回我的页面
这个过程是否足以确保用户身份验证是合法的?我是在步骤5中授予用户对我的服务的访问权,还是必须通过验证断言中的签名来确保SAML断言是有效的?如果是的话,我该怎么做呢?我还会错过其他步骤吗?
浏览 4提问于2017-05-31得票数 4
回答已采纳
一个先前提出的问题所涉及的主题非常类似于我所理解的东西。
在我正在测试的web应用程序中,SAML是使用Keycloak代理的。SAML响应消息包含加密断言(<saml:EncryptedAssertion>)。在加密断言是签名(<dsig:Signature>)之前;如果删除签名,SP仍然接受用户身份验证。
这些消息的内容只能由SP/IdP/Keycloak读取吗?
是否可以使用可用公钥加密新断言,从而替换原始断言?如果是,在哪里/如何找到相关的公钥?
如果删除签名没有任何作用,签名的目的是什么?这是Keycloak (经纪人)的问题吗?SP是否负责验证签名?
我可能
浏览 0提问于2020-06-29得票数 0
我已经按照Microsoft文档对断言进行了加密,但它给出了一些错误。 https://docs.microsoft.com/en-us/azure/active-directory-b2c/connect-with-saml-service-providers#enable-encrypted-assertions-optional MetaData: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://samltestapp2.azurewebsit
浏览 18提问于2021-01-26得票数 0
2回答
我有一个Java web应用程序。我想为我的应用程序实现SAML单点登录。我有这个发送请求和得到响应。但它没有正常工作。我在那里开了一个账户。但我没有企业账户。当我运行应用程序时,它将进入页面。我试着登录,但是它没有返回响应中的任何内容,这表明我没有权限。如果我也提供了错误的凭据,它将不会给出任何SAML响应。
所以我决定创建一个断言并在它上签名。
我是否需要首先向任何身份提供者发送SAML请求?
如何创建SAML断言示例,而不是转到IdP()
一旦得到SAML响应,如何在我的应用程序中签名并继续进行?
谢谢
更新1
<?xml version="1.0
浏览 4提问于2014-10-21得票数 6
如果我的身份提供者向我发送了一个在<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">元素中包含无效签名的Saml2AuthnResponse,Unbind()方法将抛出Invalid Signature异常。这很好,这是意料之中的。
但是,如果<Signature>元素完全丢失( Saml2AuthnResponse是无符号的),我就不会得到任何异常。这是意料之中的吗?这会带来安全风险吗?
断言是加密的,并且通过HTTPS进行通信。但是我还是有点担心签名对于Saml2AuthnResponse来说
浏览 25提问于2021-11-25得票数 0
2回答
有什么可以阻止用户修改SAML断言发送给服务提供者吗?
例如,如果SAML响应通过电子邮件地址向服务提供商标识用户,那么断言中是否有任何内容可以阻止某人使用Fiddler之类的东西修改it,并将他们的电子邮件地址替换为同一家公司中的一个在他们试图访问的服务中具有更高级别访问权限的人?
浏览 4提问于2015-04-28得票数 1
回答已采纳
3回答
我正在尝试让Google Apps SAML工作,我得到的是: Google Apps -此帐户无法访问,因为我们无法解析登录请求。
以下是我的逐字回复:
<?xml version="1.0"?>
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="pfx9c11a3a9-13dc-ff78-7d18-12f795fab19d&#
浏览 1提问于2011-08-12得票数 0
我对SAML身份验证非常陌生,所以很多概念对我来说仍然是新的。我最初的目标是创建一个可以进行node.js身份验证的脚本。
在做了一些研究之后,我能够获得更多的具体信息,现在我的目标是创建一个node.js脚本,它作为服务提供者工作,并连接到一个免费的在线身份提供者,以便进行SAML身份验证。
对于我的服务提供商,我想使用之类的东西,并将其连接到之类的身份提供商。
我尝试过使用提供的示例(来自saml2-js的快速示例),但我不知道如何将其连接到samling,或者一旦连接,如何在samling中执行操作。
更具体地说,这些值是我在填充时遇到的问题:
// Create service pro
浏览 2提问于2018-02-07得票数 2
1回答
我有一个IDP,它生成一个带有签名断言的SAMLResponse。我不打算添加生成的XML文件的示例,因为它会使问题变得太长。但如果这真的有帮助,请让我知道,我会添加它。
SP要求对断言进行加密并对响应进行签名,但目前情况并非如此。经过研究,我找不到如何做到这一点,我会发布一些我尝试过的代码,但老实说,我有点一无所知,我尝试的一切都无果而终。
问题是,如何对响应进行签名并对断言进行加密?
下面是响应的创建和签名方式:
public class SAML
{
private const int tokenLifetime = 30;
private const string is
浏览 0提问于2017-10-03得票数 3
1回答
在屏幕后面
我们有两个web应用程序(网站1和网站2 SAML服务)在不同的领域。
我们需要使用SAML2.0为SSO目的进行通信
WebSite 1构建一个符号SAML断言请求(使用.PFX证书)并将其发送到另一个域的WebSite 2 (SAML服务)
网站2接受这个SAML请求,并要求证书。一旦验证,网站2重定向到网站1(消费PageAssertionConsumerServiceURL)与SAML响应。
问题:
现在,在PageAssertionConsumerServiceURL)站点1 (消费)中,如何使用SAML响应来进行SSO?
如果用户希望从
浏览 3提问于2013-07-05得票数 2
我已经设置了一个密钥披风服务器。然后,我在那个领域中创建了一个领域,一个SAML。因此,我的keycloak服务器是一个SAML,它使用该IDP进行身份验证。IDP需要SAML元数据。我可以在IDP条目的“导出”选项卡中的keycloak管理控制台中导出它。我也可以在这里下载:
http[s]://{host:port}/auth/realms/{realm-name}/broker/{broker-alias}/endpoint/descriptor
但是元数据不包含X509证书:
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML
浏览 2提问于2019-09-18得票数 2
回答已采纳
我是SAML认证新手。
SAML Request -
<saml2p:AuthnRequest
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" AssertionConsumerServiceURL="https://host/project/jsp/index.jsp" Destination="https://host/unica/jsp/index.jsp" ForceAuthn="false" ID="_9d2a3a673a4eba881518c
浏览 2提问于2020-01-27得票数 0
我将onelogin用于SAML作为SP。我得到了响应XML。但是SAML响应的验证失败,原因是
Signature validation failed. Reference validation failed
我试图通过检查XML,但得到了相同的错误。
你能告诉我怎么解决这个问题吗?
浏览 6提问于2017-11-02得票数 4
回答已采纳
我正在为我的IDP生成带签名断言的未签名SAML响应。当我使用samltool.com验证它时,它失败了,并显示以下错误: 找不到断言的颁发者或多个。在此响应中找不到有效的SubjectConfirmation找到无效的签名元素。SAML响应被拒绝。 但是,当我生成带未签名断言的签名响应时,它通过了,没有任何错误。我检查了整个XML是有效的。我查看了其他帖子,但没有找到任何答案。 任何关于这个问题的想法都会有所帮助。 <?xml version="1.0"?>
<samlp:Response xmlns:samlp="urn:oasis:na
浏览 1提问于2019-02-10得票数 0
回答已采纳
1回答
当我尝试通过SSO登录时,我得到下面的错误消息
sspmod_saml_Error: Responder/AuthnFailed: Transaction was cancelled
造成这个错误的原因是什么?SAML配置还是身份验证?请指点
浏览 0提问于2019-07-05得票数 0
回答已采纳
我们正在使用来自SAML响应的nameId (电子邮件格式)来识别和授权系统上的传入用户。不同的经过身份验证的用户可以不改变重定向的SAML响应,使其具有不同的已知nameId。授权自己作为一个不同的用户在我们的系统?
浏览 0提问于2018-02-23得票数 0
回答已采纳
2回答
请SAML专家帮助!
我对SAML和JSP非常陌生。我想使用java(Environment linux,Tomcat6.0)中的Opensaml库来验证身份提供商(Idp)发起的SAML响应令牌,并检索发送的属性信息,例如用户i、用户名、HTTP响应未加密,并且我在java keystore.The中安装了idp的信任证书SAML令牌配置文件是"web browser SSO“,它使用HTTP-POST Binding.The证书在it.Do中有公钥我需要私钥才能验证?要验证成功需要做哪些步骤?只需数字签名验证就足以信任来源?我应该做配置文件验证还是其他什么?下面是我将从IDP接收到
浏览 3提问于2013-07-25得票数 3
回答已采纳
我正在尝试遵循这个答案:
我可以对SAML响应消息进行签名:
String saml = "...";
String pubKeyBytes = "...";
String privKeyBytes = "...";
Document documentResponse = Util.loadXML(saml); //loads string to document
X509Certificate cert = null;
cert = Util.l
浏览 0提问于2020-07-14得票数 1
1回答
我对AuthnResponseSignType的工作原理感到困惑。使用默认值时,不会对其进行签名。 AuthnResponseSignType = Saml2AuthnResponseSignTypes.SignResponse 对响应和断言进行签名确实有效。 AuthnResponseSignType = Saml2AuthnResponseSignTypes.SignAssertionAndResponse 查看源代码,特别是https://github.com/ITfoxtec/ITfoxtec.Identity.Saml2/blob/0c0cef05050d633f000be9399
浏览 15提问于2021-08-25得票数 1
请参见以下SAML2.0响应:
<samlp:Response>
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">lkasjdflkasj</saml:Issuer>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<!--<snip>-->
</Signature>
<samlp:Status xmlns:s
浏览 7提问于2015-03-05得票数 2
回答已采纳
4回答
在对也具有已签名断言的SAML响应进行签名时,我是否应该:
A)生成不带断言签名的响应签名。然后在生成两个签名后注入断言签名。
B)生成断言签名,并在生成响应签名时包含该签名。
C)还有其他的吗?
浏览 2提问于2011-08-06得票数 15
1回答
我是SP,想要验证来自IdP的签名。IdP告诉我,我们的SP不信任IdP的证书。
根据我的理解,这种情况会发生:
SP-> SAML request digitally signed with private key of SP
IdP-> SAML request gets verified with public key of SP (from metadata)
IdP-> SAML response signed with private key of IdP
SP-> SAML response gets verified with public key o
浏览 5提问于2021-09-07得票数 0
我正在使用SAML AuthnStatements接收SOAP请求,其SessionNotOnOrAfter时间戳与其AuthnInstant的值完全相同:
<saml:AuthnStatement AuthnInstant="2020-04-22T21:11:41.453Z" SessionNotOnOrAfter="2020-04-22T21:11:41.453Z">
我使用ApacheWSS4J来验证SOAP签名,它还验证了各种SAML2.0特性,包括AuthN语句。符合这种模式的消息无法通过验证,因为我一收到消息,它的AuthnStateme
浏览 0提问于2020-04-22得票数 2
回答已采纳
我正在尝试使用System.Security.Xml对以下SAML断言进行签名。
<saml:Assertion xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" mlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xs="http://www.w3.org/2001/XMLSchema" ID="p
浏览 0提问于2019-04-12得票数 2
回答已采纳
我想问一下我是否用idp私钥签署了saml响应,并用sp公钥加密了saml断言。是否需要在加密前对saml断言进行签名?这是不是太夸张了?您是否从任何官方文档中了解到任何标准?谢谢。
浏览 0提问于2015-12-09得票数 1
2回答
我正在从事一个必须执行SAML实现的项目,我有一些疑问:
什么是元数据文件,它在SAML中是如何有用的?
SAML如何确保来自IdP的响应不会被传输过程中的恶意用户更改?对恶意用户进行身份验证。
SAML模式的可用。如何使用它在java中生成模拟SAML请求?
浏览 5提问于2017-08-30得票数 0
我们正在使用SAML Web浏览器SSO配置文件(SAML2.0)
我们有一个使用SAML2.0的SP。IdP和SP之间的所有通信都是通过HTTPs进行的。
如果来自AuthnResponse的IdP是通过HTTPs发送的,那么SP是否必须对加密断言和整个响应上的签名进行验证?如果所有断言都是加密的,IdP是否不需要进行签名验证?
谢谢。
浏览 0提问于2018-10-08得票数 1
下面是问题:
使用CA证书保护SAML断言有什么好处吗?我理解在建立传输SAML断言的SSL连接时使用CA证书的好处,但是当SP本身接受SAML断言时发生的PKI握手的CA证书又如何呢?我有一个观点认为,在SAML交换中,SP无法通过信任链迭代到根CA证书,而在另一个方面,有人说它可以。
如果你能给我指出一个支持你答案的权威来源,你会得到加分。
浏览 0提问于2013-01-11得票数 1
1回答
我有一个关于SAML联邦中使用的密钥的一般性问题。
通常,为了建立一个SSO,XML消息和SAML断言由一个合作伙伴(IdP或SP)签名。
通常情况下,哪个合作伙伴应该用私钥签署消息?
谢谢
浏览 2提问于2015-12-14得票数 0
回答已采纳
1回答
我是SSO实现工程师,但最近发现要说服InfoSec团队使用自签名证书与CA签名证书来签署SAML断言是很困难的。
随着CA签署机构不再发放有效期超过1年的证书,每年在SP方面协调、引导和更新SAML证书已成为一项艰巨的任务。
我知道不需要CA证书来签署SAML断言,但我必须说服使用具有3年有效期的自签名证书或其他什么的。
有哪些CA可以给我们3年认证SAML??
如果不是1,有什么方法可以使InfoSec理解没有必要使用CA签名证书,但是自签名证书没有任何安全问题。寻求一些建议。
提前谢谢。
浏览 6提问于2022-03-07得票数 0
2回答
当向SP返回SAML响应时,大多数IdP (如AzureAD、Okta、Onelogin、GSuite )都有以下有关签名的选项:
符号响应符号断言符号响应和断言
在没有任何配置的情况下,对于大多数IdP来说,默认的签名是只对断言签名。
下面是来自AzureAD的SAML响应示例(默认签名选项是符号断言)。断言是受完整性保护的,不能进行篡改。但是,断言以外的字段( Destination InResponseTo Issuer )可以在不知情的情况下被篡改或添加/删除!
所以我的问题是:
为什么有3种签名?(响应、断言、响应& Assertion)In (用例)-如果我们选择
浏览 7提问于2021-06-08得票数 2
回答已采纳
我使用opensaml在java应用程序中创建SAML断言。但是,NotBefore和NotOnOrAfter时间在<saml2:Conditions>中总是会更改回UTC时区,即使我在joda中专门使用了DateTimeZone dtZone = DateTimeZone.forID("America/New_York");。
另外,我再次尝试将它转换回EST,但即使在下面这之后,我仍然得到了UTC:conditions.setNotBefore(conditions.getNotBefore().toDateTime(dtZone));
因为这是wierd时区冲
浏览 0提问于2014-09-29得票数 1
我在使用WSO2标识服务器时遇到了一个问题。
我有一个web服务器,它使用身份服务器中的SAML2进行SSO。登录后,Identity Server返回saml响应消息:
<?xml version="1.0" encoding="UTF-8"?>
<saml2p:Response Destination="http://localhost:8080/travelocity.com/home.jsp" ID="lfkelagpefmnohdlcalkpoeobnahpjapkfljnoah" InResponse
浏览 2提问于2016-01-14得票数 0
回答已采纳
我需要澄清SAML2.0中使用的术语。我想知道“断言”是指SAML2.0消息的一个特定的子类别,还是指的是所有SAML2.0消息。
浏览 1提问于2015-06-25得票数 1
回答已采纳
1回答
我是SAML的新手。我想从SOAP消息中设置SAML2.0属性和属性值。我该怎么做呢?我使用Apache-cxf来处理SOAP请求和响应。请指导我如何获取SOAP消息以及如何根据从SOAP消息中查询来设置SAML属性值。我也不确定如何动态设置SAML属性值。
浏览 0提问于2014-04-18得票数 0
1回答
我正在JBOSS中实现一个SP启动的web浏览器SAML SSO配置文件。
我的应用程序是SP。
登录后,我希望IDP向我发送以下格式的加密断言:
<samlp:Response...>
<ds:Signature>...
<ds:KeyInfo>....</ds:KeyInfo>
</ds:Signature>
<samlp:Status>...</samlp:Status>
<saml:EncryptedAssertion>...</saml:EncryptedA
浏览 3提问于2013-05-06得票数 7
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
