11

我的任务是设计一个非常简单的 SSO(单点登录)流程。我的雇主已指定它应该在 SAML 中实施。我想在确认 SAML 规范的同时创建尽可能简单的消息。

如果你们中的一些人能查看我的请求和响应消息并告诉我它们是否对我的目的有意义,它们是否包含任何不需要的内容,以及它们是否缺少任何有用的信息,我非常感激需要在那里。

此外,我想知道我应该在回复中的哪个位置添加有关该主题的其他信息;特别是主题的电子邮件地址。

交互需要按以下方式工作:

  1. 此时用户向服务提供者请求服务,服务提供者对用户一无所知。
  2. 服务提供者向身份提供者请求用户身份验证
  3. 用户由身份提供者认证/注册
  4. 身份提供商向服务提供商响应身份验证成功消息、PLUS 用户的电子邮件地址。

我认为请求应该是这样的:

<?xml version="1.0" encoding="UTF-8"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" 
ID="abc" 
IssueInstant="1970-01-01T00:00:00.000Z" 
Version="2.0"
AssertionConsumerServiceURL="http://www.IdentityProvider.com/loginPage">
   <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
    http://www.serviceprovider.com
    </saml:Issuer>
    <saml:Subject>
        <saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">3f7b3dcf-1674-4ecd-92c8-1544f346baf8</saml:NameID>
    </saml:Subject>

以下是我认为应该做出的回应:

<?xml version="1.0" encoding="UTF-8"?>
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Destination="http://www.serviceprovider.com/desitnationURL" ID="123" IssueInstant="2008-11-21T17:13:42.872Z" Version="2.0">
    <samlp:Status>
        <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
    </samlp:Status>
    <saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Version="2.0">
        <saml:Subject>
            <saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">3f7b3dcf-1674-4ecd-92c8-1544f346baf8</saml:NameID>
            <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser">
                <saml:SubjectConfirmationData InResponseTo="abc"/>
            </saml:SubjectConfirmation>
        </saml:Subject>
        <saml:AuthnStatement AuthnInstant="2008-11-21T17:13:42.899Z">
            <saml:AuthnContext>
                <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef>
            </saml:AuthnContext>
        </saml:AuthnStatement>
    </saml:Assertion>
</samlp:Response>

所以,我的问题是:

  1. 这是有效的 SAML 交互吗?

  2. 可以简化请求或响应 XML 吗?

  3. 我应该在回复中的哪个位置填写主题的电子邮件地址?

我真的很感谢你的帮助。非常感谢!

-摩根

4

2 回答 2

12

您不需要请求中的主题 - 查看规范,我认为它可以很简单:

<?xml version="1.0" encoding="UTF-8"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
  ID="abc" Version="2.0" IssueInstant="1970-01-01T00:00:00.000Z"
</samlp:AuthnRequest>

省略所有可选元素和属性(Issuer、NameIDPolicy、AssertionConsumerServiceURL 等)意味着您的身份提供者和服务提供者已经预先同意这些,因此不需要在 AuthnRequest 中指定它们。如果您可以控制两端,并且您绝对知道您永远不会添加其他提供商,那么这是一个完全合法的 SAML 请求。它的意思是“通过我们同意的机制对提供此信息的用户进行身份验证”。

查看响应,我认为这是最小的情况:

<?xml version="1.0" encoding="UTF-8"?>
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
  ID="123" InResponseTo="abc" IssueInstant="2008-11-21T17:13:42.872Z" 
  Version="2.0">
    <samlp:Status>
        <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
    </samlp:Status>
    <saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Version="2.0">
        <saml:Subject>
            <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">
                user@example.com
            </saml:NameID>
        </saml:Subject>
        <saml:AuthnStatement AuthnInstant="2008-11-21T17:13:42.899Z">
            <saml:AuthnContext>
                <saml:AuthnContextClassRef>
                    urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
                </saml:AuthnContextClassRef>
            </saml:AuthnContext>
        </saml:AuthnStatement>
    </saml:Assertion>
</samlp:Response>

您可以将用户的电子邮件地址作为 NameID 发送,而 AuthnStatement 仅包含身份提供者在给定时间通过给定机制对用户进行身份验证的事实。再一次,这被剥离到了骨子里——我们省略了诸如 Destination 和 SubjectConfirmationMethod 之类的属性和元素,因为它们对于用例来说是多余的。

因此,此响应显示“这是 user@example.com;他于 2008 年 11 月 21 日 17:13:42 通过受保护的传输 (SSL/TLS) 使用密码登录”。

您应该查看 SAML 2.0 配置文件规范,了解来回传递这些信息的确切机制。AuthnRequest 通常被压缩、编码并作为 GET 中的 URL 参数传递,而返回 Response 的最简单方法是通过 POST 绑定 - 返回一个 HTML 页面,其目标是服务提供者,并在通过一些 JavaScript 的页面加载时间。

于 2009-01-07T04:45:14.030 回答
1

  1. 是的,这似乎是一个 SAML 交互

  2. 您的身份验证响应现在相当简单。通常你会想在你的断言中添加更多的属性。而且为了安全起见,至少应该签署响应。

  3. 它用于在之后设置。在你的情况下你没有它,所以在状态应该没问题之后......

我建议您在http://www.ssocircle.com创建一个帐户,并使用一个 HTTP 标头分析器(即经典且出色的 LiveHttpHeaders)和一个 SAML2 调试器(Feide Rn SAML2 调试器谢谢大家!)看看请求/响应流...

希望能帮助到你,

路易斯

ps:如果你想看一个完整的实现SP/IdP:http: //sourceforge.net/projects/spring-saml/files%2F0.1/

于 2012-05-13T16:18:42.163 回答