3

请SAML专家帮忙!!!!

我对 SAML 和 JSP 非常陌生。我想使用 Java(环境 linux,Tomcat6.0)中的 Opensaml 库验证 IDP(身份提供者)发起的 SAML 响应令牌,并检索发送的属性信息,例如用户 ID、用户名、电子邮件。SAML 响应未加密,我有idp 的信任证书安装在我的 java 密钥库中。SAML 令牌配置文件是“Web 浏览器 SSO”,它使用 HTTP-POST 绑定。证书中有一个公钥。我需要一个私钥来验证吗?步骤是什么为成功验证完成?只需数字签名验证就足以信任来源?我应该进行配置文件验证还是其他什么?下面给出了我将从 IDP 收到的 SAML 响应。如果您需要更多信息,请告诉我?对不起,如果我没有提供足够的信息。请帮助我...

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="XYZ" Version="2.0" IssueInstant="2013-07-10T16:43:54Z" Destination="http://www.testsp.com">
  <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">http://www.testidp.com:8080/opensso</saml:Issuer> 
- <samlp:Status xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <samlp:StatusCode xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Value="urn:oasis:names:tc:SAML:2.0:status:Success" /> 
  </samlp:Status>
- <saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="xyz" IssueInstant="2013-07-10T16:43:51Z" Version="2.0">
  <saml:Issuer>http://www.testidp.com:8080/opensso</saml:Issuer> 
- <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
- <ds:SignedInfo>
  <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> 
  <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" /> 
- <ds:Reference URI="#xyz">
- <ds:Transforms>
  <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /> 
  <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> 
  </ds:Transforms>
  <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" /> 
  <ds:DigestValue>...hdfb3454jh545dfbj545423df....=</ds:DigestValue> 
  </ds:Reference>
  </ds:SignedInfo>
  <ds:SignatureValue>..................hsdgysgdyyusgfdfb98738e43hjrg874y474h7y8r............=</ds:SignatureValue> 
- <ds:KeyInfo>
- <ds:X509Data>
  <ds:X509Certificate>............./KPm0qLP8vCOhyI76AUE6jL NFeTlcAe3B6hOdfKCiu+EtHeZC2i/8jf1rHDNPey4TS1MQj/.......
</ds:X509Certificate> 
  </ds:X509Data>
  </ds:KeyInfo>
  </ds:Signature>
- <saml:Subject>
  <saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" NameQualifier="http://www.testidp.com:8080/opensso" SPNameQualifier="http://www.testsp.com">....Zeq8NhJKRKDXUwx67ytuynwj4n...</saml:NameID> 
- <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
  <saml:SubjectConfirmationData NotOnOrAfter="2013-07-10T16:53:51Z" Recipient="http://www.testsaml.com/tespsamlmodule" /> 
  </saml:SubjectConfirmation>
  </saml:Subject>
- <saml:Conditions NotBefore="2013-07-10T16:33:51Z" NotOnOrAfter="2013-07-10T16:53:51Z">
- <saml:AudienceRestriction>
  <saml:Audience>http://www.testsaml.com/tespsamlmodule</saml:Audience> 
  </saml:AudienceRestriction>
  </saml:Conditions>
- <saml:AuthnStatement AuthnInstant="2013-07-10T16:36:35Z" SessionIndex="......erer54t54y45y75666y65y65y....">
- <saml:AuthnContext>
  <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef> 
  </saml:AuthnContext>
  </saml:AuthnStatement>
- <saml:AttributeStatement>
- <saml:Attribute Name="UID">
  <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">ab123</saml:AttributeValue> 
  </saml:Attribute>
- <saml:Attribute Name="uname">
  <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">robert</saml:AttributeValue> 
  </saml:Attribute>
- <saml:Attribute Name="EmailAddress">
  <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">robert@example.com</saml:AttributeValue> 
  </saml:Attribute>
  </saml:AttributeStatement>
  </saml:Assertion>
  </samlp:Response>
4

2 回答 2

5

您需要根据 SAML 规范验证响应。在 OpenSAML 中有一些功能可以做到这一点,但我似乎最安全的选择是编写自己的验证代码。看。http://marc.info/?t=137354098500007&r=1&w=2

您还必须验证签名。与所有签名验证一样,您使用公钥。这是我在博客上写的关于 OpenSAML 签名验证的一些内容。https://blog.samlsecurity.com/2012/11/verifying-signatures-with-opensaml.html

在我的《OpenSAML 指南》一书中,我有更多关于使用 OpenSAML 进行签名和加密的内容

于 2013-08-01T13:08:57.177 回答
3

以下是我为 IDP 发起的 SAML 响应在我的 WEB 应用程序上实施单点登录功能所遵循的步骤。

先决条件:

  1. 为 opensaml java 库导入所有必需和依赖的 jar 文件。
  2. 将 IDP 的数字证书上传到您的 java 密钥库。
  3. 在您的服务器上创建一个负责 SAML 身份验证的 JSP 文件。
  4. 对收到的 SAML 消息进行不同类型的验证,以确保来源(签名验证)、消息完整性(引用验证)和断言验证(检查断言有效时间)。

代码: 此博客提供了一个很好的示例,可帮助您构建自己的 SAML SP 安装。

http://mylifewithjava.blogspot.no/2012/11/verifying-signatures-with-opensaml.html

从他们的档案中下载所有必需的 jar 文件,这将为您节省大量下载依赖版本 jar 的时间。http://www.capcourse.com/Library/OpenSAML

于 2013-09-20T15:11:28.867 回答