1

我正在尝试使用 GSuite 设置 SAML。但我得到这个错误The Assertion of the Response is not signed and the SP requires it.

我已配置断言应在我的 SP 中签名。我可以看到在其他 IDP(如 onelogin、okta)中签署响应断言的选项。该配置适用于其他 IDP,但看不到在 GSuite SAML 中发出响应断言的选项。

在 Gsuite 中,我只能看到对响应进行签名的选项,但看不到断言。

我怎样才能正确设置它?

SP 元数据如下所示:

<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<ds:Reference URI="#pfxd76b3d5e-171f-a19e-7655-e6cc6664adb0">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<ds:DigestValue>/K0lp4rOuuVcuRlMsx14/t2n0LkkDdJqzyiEa2sar/E=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>xxxx</ds:SignatureValue>
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>xxxx</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>xxxx</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="xxxx/sso/611b7d0d3783084966599da3/slo"/>
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="xxxx/sso/611b7d0d3783084966599da3/acs" index="1"/>
<md:AttributeConsumingService index="1">
<md:ServiceName xml:lang="en">SP test</md:ServiceName>
<md:ServiceDescription xml:lang="en">Test Service</md:ServiceDescription>
<md:RequestedAttribute Name="" NameFormat="" FriendlyName="" isRequired="false"/>
</md:AttributeConsumingService>
</md:SPSSODescriptor>
</md:EntityDescriptor>```
4

1 回答 1

-1

据此,_

(可选)如果您的服务提供商要求对整个 SAML 身份验证响应进行签名,请选中签名响应框。如果未选中(默认),则仅对响应中的断言进行签名。

您可能希望取消选中该框以让默认行为接管。

于 2021-09-02T07:42:10.077 回答