Signe de Réponse SAML avec ou sans Signature de l'Assertion?
Lors de la signature d'une Réponse SAML qui a également signé de l'Affirmation devrait I:
A) Générer la Réponse la signature sans la signature de l'Assertion. Ensuite injecter de la signature de l'Assertion, après tant de signatures ont été générés.
B) Générer la signature de l'Assertion et de l'inclure lors de la génération de la Réponse de la signature.
C) quelque Chose d'autre.?.
~ Merci d'avance!
OriginalL'auteur Panman | 2011-08-05
Vous devez vous connecter pour publier un commentaire.
SAML est terrible, à chaque fois que j'ai lu la réponse, ils sont presque correct, voici l'algorithme correct distillée:
C'est tout. SAML est complètement horrible. Il ya des tonnes de peu de subtilités qui font de la mise en œuvre de SAML un cauchemar(comme le calcul de la forme canonique d'un sous-ensemble de XML(l'affirmation), également la version XML de documents XML n'est pas inclus.
J'ai terminé mon œuvre, j'espère ne plus jamais revoir une telle douleur à nouveau.
OriginalL'auteur
Je crois que la bonne réponse est B). Signe de l'Affirmation d'abord, puis signe la Réponse qui contient la signature de l'Affirmation de données. Toutefois, si un seul Émetteur ou de la personne morale (STS/IDP/etc) est la signature de deux il n'y a pas de véritable raison à signer l'Affirmation est-il? Suffit de signer le Protocole de Message/Réponse qui devrait comprendre l'Affirmation de données. Ceci vous permettra de réduire les besoins de traitement à la SP. Pour l'authentification unique Web, je n'ai jamais vu les deux parties ont signé lorsque vous avez une entité différente de la signature de l'Affirmation vs la Réponse. -- Ian
OriginalL'auteur
Si vous êtes à la signature de deux, puis l'affirmation DOIT être signé d'abord, puis la réponse, parce que la réponse de signature sera basée sur l'intégralité du contenu de la réponse (y compris la signature de l'assertion). Donc, la signature de l'affirmation deuxième, invalide la réponse de la signature.
OriginalL'auteur
La bonne réponse est B.
Si affirmant partie des signes de la réponse SAML à l'aide d'Un, puis la partie utilisatrice doit supprimer la signature de la réponse SAML et la signature de l'assertion SAML, avant de valider la réponse SAML. SAML de Base Spécification indique que la signature ne doit pas être généré à l'aide de transformations autres que enveloppés signature transformer ou exclusif canonique de transformation. Aucun de ces deux transformations pouvez supprimer la signature de l'assertion SAML. Ainsi, la partie utilisatrice ne peut pas valider la réponse SAML.
OriginalL'auteur