问题标签 [itfoxtec-identity-saml2]

我通过 HTTP 重定向绑定接收 SAML 请求，SAML 请求的内容如下所示

{"SigAlg"=>" http://www.w3.org/2000/09/xmldsig#rsa-sha1 ", "SAMLRequest"=>"lVLLaoQwFP0VyT5jEqPG4AiFoSDMtNApXXQzxDxaQRObRDqfX3XoolAKXd7DPQ/uuXUQ4zDxo3tzc3zSH7MOMWkPe3DpcixzVVVQl4RBqoiCncEYEmkoY7k00hCQvGgfemf3gOwQSNoQZt3aEIWNC4RwCRGGiD6jkmPMs2KHUPYKksPi0lsRN+Z7jFPgafqpvejtbtQpSK7jYAPfsu3B7C13IvSBWzHqwKPk57vTkS+WfPIuOukG0NSbub9R/yaJELRfzUGzrhmtFut15qdeeheciY926K2u05toUz8sIu0huXd+FPFv9RXpFTTbKp/WA4WobQT/jEYrykwhNaQ66yDNMwY7wijEtMCmysqqo6xOb8Ga+ tbjWYe1jtYqfW0uCucoYwWCHS3F0kRGoajWTpAiiJRZJRmu01+Y3+CPt2i+AA=="}

它也有一个签名值

WkDaGzC6vPTlzh+EnFA5/8IMmV7LviyRh2DA5EHF0K0nl+xzBlKfNCYRnunpwoEvGhereGdI5xBpv+mc9IguiCaLZSZjDh6lIDdpvctCnmSNzORqzWQwQGeZ9vjgtCLjUn35VZLNs3WgEqbi2cL+ObrUDS2gV1XvBA3Q3RRhoDmi+XE89Ztnd1cNpR3XdA+EL2ENbMI2XAD9qSgMufUJY/3GBBpT7Vg1ODtPxBudq+sXrgPh/+WtUUitLkkfC8tdRTCS1EZPv+h27I5g/VNza23Xl8w2HdAuYP0F2FjREo8VV2aUtaOUd/jAF9+bfkGV93y1PzFttLxdBbFoxp6qBg==

但我不明白如何验证此签名是否正确。

第 3.4.4.1 节 SAML 绑定https://docs.oasis-open.org/security/saml/v2.0/saml-bindings-2.0-os.pdf

我尝试了这种方法，但是

• 我使用私钥生成的签名与我从我的 SP 收到的签名不匹配。（上面发布）

• 此外，我无法使用私钥解密签名的消息（我假设签名是使用我与之联合的公共创建的。）

这里有任何帮助。

我们的大学已使用 Shibboleth 迁移到基于 SAML 的身份验证/授权方法。

我一直在研究如何将 SAML 与 .net 核心 Web 应用程序一起使用至少一天。我不能使用身份服务器 4，因为它用于 OaTH/Open ID。我在msdn上找到了一些指向商业实现的文档。我在一年前遇到了这个SO答案，说 Kentor 将来可能会支持它，但在 github 页面上找不到任何关于支持 .net core 或 .net core 示例 Web 应用程序的信息。截至一月份，它仍在计划中，但没有日期。

大学运行身份提供程序。我不明白的是：

1. 如何设置我的 Web 应用程序以使用该身份提供者？
2. 如何检查该身份提供者是否已针对另一个应用程序进行身份验证，以便使用 SSO？

此外，任何使用没有商业插件的 SAML 的示例应用程序都将不胜感激。

我想在 ASP.net MVC 中实现 Onelogin SAML 的注销功能。谁能与我分享带有重定向的 Onelogin SAML 注销功能的示例应用程序。

我已经参考了 onelogin 网站。 https://developers.onelogin.com/saml/examples/logout-response

仍然没有得到回应。

AD FS 通过自定义策略配置为使用 SAML 2.0 在 Azure AD B2C 上的声明提供程序。Azure AD B2C 上的依赖方正在使用 OpenID Connect。

AD FS 发出一个 SAML 2.0 断言，包括角色声明。如果角色在两个单独的 Attribute 元素中返回：

Azure AD B2C 仅读取最后一个声明。

否则，如果角色作为一个 Attribute 元素中的 AttributeValue 元素返回：

读取所有角色值。

使用的 Azure AD B2C 角色 ClaimType 是：

SAML 2.0 支持发送多个具有相同名称的属性和一个具有 AttributeValue 列表的属性。Azure AD B2C 有没有办法读取具有相同名称的多个属性，而不仅仅是最后一个？

什么是单点登录 (SSO)？

单点登录 (SSO) 是一种会话和用户身份验证服务，它允许用户使用一组登录凭证（例如，名称和密码）来访问多个应用程序。

使用单点登录可以消除多次登录，即用户只需登录一次即可访问多个 Web 应用程序。在 ASP.NET MVC 中使用 ITfoxtec SAML 2.0 实现 SSO 非常简单。下面是逐步实现它的方法。

1. 打开visual studio，创建一个ASP.net MVC Application

2. 从 nuget pacakges 添加 itfoxtec.saml2 和 itfoxtec.saml2.mvc

3. 检查控制器文件夹中的 AuthController

4. 设置基本设置，如 Issuer url、Destination、AssertionConsumerServiceUrl

5. 使用下面给出的代码在 AssertionConsumerService 方法中获取身份

   var useridentity = saml2AuthnResponse.ClaimsIdentity as ClaimsIdentity; var username = useridentity.Claims.Where(c => c.Type == "username") .Select(c => c.Value).SingleOrDefault();

我需要在 ASP.NET Core 2 Web Api 应用程序中使用 ADFS 3.0 身份的解决方案。我组织的 Windows 企业支持团队告诉我，他们只熟悉 ADFS 中基于 SAML 或 WS-Fed 的依赖方，并且对允许我帮助他们配置 OAuth 不感兴趣，因为我可以直接在应用程序中使用它们。据我所知，SAML 和 WS-Fed 都不兼容当前可用的任何针对 netcore 或 netstandard 的东西。

我一直在研究 Identity Server 4，它是所谓的“Federation Gateway”功能，但我在文档中找不到太多东西。这对我的用例有用吗？我猜它只设置为通过 OAuth 或 OpenID 进行接口，但我可能是错的。

我还研究过使用 Amazon Cognito 作为中间人来根据 SAML 响应发布 JWT，但是在我获得使用此配置的概念证明后，我意识到 0.45 美元/MAU 的成本高得令人望而却步，因为应用程序将拥有大约 10-15k 的普通用户。

如果 Identity Server 不是解决方案，是否有任何其他类似的“Federation Gateway”类型的解决方案可用作最好的开源/免费软件？即使该解决方案不是基于 .NET 的，我也会有兴趣查看它。我正在考虑在 Java 或 Ruby 中构建类似的东西作为最后的手段。

我正在尝试在 Asp.NetCore 2.1 MVC 应用程序中实现 saml 2.0，要求是使用 ADFS3.0 实现 Saml 2.0，我从博客尝试并安装了 nugget - Sustain.saml2.0，导致系统出错。

BadImageFormatException：无法加载文件或程序集“System.IdentityModel，版本=4.0.0.0，Culture=neutral，PublicKeyToken=b77a5c561934e089”。不应加载引用程序集以供执行。它们只能在 Reflection-only loader 上下文中加载。（HRESULT 异常：0x80131058）

如何在 asp.netcore 2.1 中实现 saml2.0？我是新来的 saml。

在 ASP.NetCore2.1 MVC 应用程序中实现 saml2.0 的最佳方法是什么？

我正在使用 Sustainsys.AspNetCore2.1Saml2 nuget，下面是代码。但其中的 EntityId 需要 System.IdentityModel.dll 4.0 听起来我无法运行它在错误下方显示的应用程序。

代码

我得到以下错误

我们正在使用 ITfoxtec.Identity.Saml2 库对我们的 SSO 服务进行身份验证。

问题是我们在负载平衡的服务器上使用它。如果我们关闭粘性会话，应用程序将不再运行。

我在创建会话时尝试设置 isPersistent= true ，但它没有任何影响。我已经看到发布了与在网络场中存储 SAML 状态相关的类似问题，建议包括：

更改配置以使 webfarm 上的所有服务器都使用相同的机器密钥 创建相当于状态服务的内容来存储身份验证。

我认为有一种方法可以将用户状态本地存储在 cookie 中，无论是否使用负载平衡，该 cookie 都可以重用。

关于如何攻击这个有什么建议吗？

是否可以使用 ITfoxtec Identity Saml2（开源 - https://itfoxtec.com/identitysaml2）加密断言响应？一直找不到任何东西。

GitHub 站点 ( https://github.com/ITfoxtec/ITfoxtec.Identity.Saml2 ) 提到了解密而不是加密。似乎也没有任何关于加密的例子。

任何帮助表示赞赏。谢谢。