0

我正在尝试使用 Apache Knox 为 Apache Zeppelin 启用 SSO 功能,该功能配置为将身份验证请求重定向到 Siteminder IdP。

我遇到的问题与 NameID 格式配置和签名配置有关。

无论我在 sp/idp 元数据中配置什么,使用的 NameID 格式都是

urn:oasis:names:tc:SAML:2.0:nameid-format:entity

并且请求总是在 Signed requests 设置为 true 的情况下发送。

我的SP配置如下:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://knox.test.com/gateway/knoxsso/api/v1/websso?pac4jCallback=true%26client_name=SAML2Client">
<SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol http://schemas.xmlsoap.org/ws/2003/07/secext">
<NameIDFormat>
  urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
</NameIDFormat>
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://knox.test.com/gateway/knoxsso/api/v1/websso?pac4jCallback=true%26client_name=SAML2Client"/>
   <AssertionConsumerService
            Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" index="1" isDefault="true"  Location="https://knox.test.com/gateway/knoxsso/api/v1/websso?pac4jCallback=true%26client_name=SAML2Client"/>
</SPSSODescriptor>

我激活了 SAML 跟踪器并尝试了登录用户旅程。基于此配置发送到 Siteminder IdP 的 AuthNRequest 如下所示:

<saml2p:AuthnRequest xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
                 AssertionConsumerServiceURL="https://knox.test.com/gateway/knoxsso/api/v1/websso?pac4jCallback=true%26client_name=SAML2Client"
                 Destination="https://test-siteminder.com/test/saml2sso"
                 ForceAuthn="false"
                 ID="_yp52mio0oj4ho2niijmnnaikgbkid9tnc5h5ear"
                 IsPassive="false"
                 IssueInstant="2020-02-17T10:19:24.279Z"
                 ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
                 ProviderName="pac4j-saml"
                 Version="2.0"
                 >
<saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
              Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity"
              NameQualifier="https://knox.test.com/gateway/knoxsso/api/v1/websso?pac4jCallback=true%26client_name=SAML2Client"
              >https://knox.test.com/gateway/knoxsso/api/v1/websso?pac4jCallback=true%26client_name=SAML2Client</saml2:Issuer>

我可以在请求的参数部分看到一个签名值,这就是我假设 AuthNRequest 已签名的原因(尽管我对此的理解很少,所以这可能是一个错误的假设!)。

谁能帮助解释为什么 NameIDFormat 是作为实体而不是未指定的?Apache knox 是否支持 SAML1 协议?

提前致谢!

4

1 回答 1

0

您在帖子中提到了 NameID 格式,urn:oasis:names:tc:SAML:2.0:nameid-format:entity但在您粘贴的代码中urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified,只是复制粘贴错误?看起来 protocolSupportEnumeration 也引用了 SAML 1 协议。Knox 在后台使用不支持 SAML 1 的Pac4J ,这可能是原因。

于 2020-02-18T14:38:02.777 回答