0

我们需要实现基于 SAML 的安全认证。我们的 IDP 将是 Okta 和 OneLogin。为此,我们在 node.js express 应用程序中使用“passport”+“passport-saml”。我们在 SP 端为 Okta 使用以下策略配置-

var oktaLoginStrategy = {
    host: 'http://localhost:3000',
    path: '/login/callback',
    realm: 'urn:node:app',
    entryPoint: "https://dev-528399.oktapreview.com/app/builtiodev528399_oktasp1_1/exkbbi8vwj2OsHjbE0h7/sso/saml",
    issuer: "http://www.okta.com/exkbbi8vwj2OsHjbE0h7",
    additionalParams: {
        'RelayState': "test"
    },
    signatureAlgorithm: 'sha256',
    decryptionPvk: privateKey,
    privateCert: privateKey,
    cert: oktaPublicKey,
    identifierFormat: 'urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress'
};

对于 OneLogin,我们使用-

var oneLoginStrategy = {
    host: 'http://localhost:3000',
    path: '/login/callback',
    realm: 'urn:node:app',
    entryPoint: "https://flow-dev.onelogin.com/trust/saml2/http-post/sso/686218",
    issuer: "https://app.onelogin.com/saml/metadata/686218",
    additionalParams: {
        'RelayState': "test"
    },
    signatureAlgorithm: 'sha256',
    decryptionPvk: privateKey,
    privateCert: privateKey,
    cert: oneLoginPublicKey,
    validateInResponseTo: true,
    identifierFormat: 'urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress'
};

但是对于 Okta,它给出的错误是“无法读取未定义的属性 'getAttribute'”,而对于 OneLogin,它给出的错误是“无效的签名”。此外,我们对模块进行了调试,发现 Okta 在查找算法时会中断,而对于 OneLogin,它能够解密“CipherData”,但在验证签名时会中断。

我们的私钥格式是-

-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----

请帮助我们解决这个问题。

4

1 回答 1

1

这里的问题来自 Okta SAML 断言格式,我们对 xml-encryption 模块的“decryptKeyInfo”函数进行了更改,该函数在 passport-saml 下用于从断言中查找“keyEncryptionMethod”。关于 OneLogin,这是我们的设置问题。

于 2017-08-11T11:17:59.880 回答