问题标签 [itfoxtec-identity-saml2]

我需要使用 SAML 身份验证调用 SOAP Web 服务。他们期望 saml 令牌作为 SOAP 请求的一部分（这应该不是问题）。

IDP 上的实际身份验证必须使用客户端证书（私钥）完成，但无需任何用户交互。据我了解，https://www.itfoxtec.com/IdentitySaml2上的示例基于基于浏览器的重定向身份验证。

问题：是否可以通过客户端证书在 IDP 上进行身份验证，而无需使用 ITfoxtec.Identity.Saml2 库进行用户交互？如果是的话，你能否指出我如何做到这一点，或者是否有这样一个用例的样本？

我正在签署我的 SAML 请求，如下所示：

它几乎是如何解释它应该在官方文档中完成的。

但是，我的 SAML 身份验证在有或没有这个签名位的情况下都有效/通过。我不确定是否需要在 IdP 端进行任何额外配置才能正确实施？一旦我在配置中启用了签名（直到我在 IdP 中进行了一些额外的设置），我有点期望它会停止工作，所以我想这就是让我感到困惑的地方。

也许它只是某种往返类型的安全检查，并且不需要 IdP 端的干预/额外设置来使请求签名工作？另一种选择是我错误地配置了它，这就是它起作用的原因。

一个额外的问题 - 我如何确保/验证签名有效？

更新：我正在配置 RP。IdP 是一个Mini Orange WordPress 插件，我可以访问它来配置诸如发行者、回调 url、响应签名/加密等详细信息。但我不允许对 WP 实例或插入。客户确实希望我们在被问及请求签名时实现请求签名（作为额外的安全层），甚至加倍努力要求 Mini Orange 在他们应该做的插件中支持它（我们得到了插件的升级前几天），但我不确定我是否误解了协议，或者即使插件升级，他们也不真正支持请求登录 Mini Orange。

谢谢！

我看到有 3 种注销方法。它们的调用顺序如下。我需要了解注销和单次注销有何不同，因为注销的整个代码在 SingleLogout 中再次重复。\

登出单登出登出

问题是当我尝试注销时。首先它调用 Logout 方法，它执行成功。后来它调用 SingleLogout 方法，在该方法中它尝试验证证书并失败。登录时，证书没有问题，不知道为什么注销时会出现证书问题。

下面的第 61 行在登录时返回 true，在注销时返回 false。文件：Saml2SignedXML。方法：CheckSignature 第 61 行：返回 CheckSignature(Saml2Signer.Certificate, true);

此外，还有另一个问题，在 Logout 方法中，User.Identity.IsAuthenticated 返回 false，不确定是什么原因。

我们正在使用 ITfoxtec.Identity.SAML2 库。最近我遇到了一个问题，问题是这个库强制注销请求被签名。请参见下面的代码。documentValidationResult 设置为 NotPresent。我仍然收到签名无效错误。 在注销请求中 assertionelement 将始终为空。

你能把它改正吗@anders

在 ITfoxtec SAML 2.0 实施中，Saml2PostBinding对象具有设置SetRelayStateQuery()和GetRelayStateQuery()从字典中获取数据的方法。

有时，GetRelayStateQuery()即使我使用SetRelayStateQuery(). 我在测试时无法重现这一点，但许多客户正在生产中发生这种情况。在哪些情况下可能会发生这种情况？

再会，

我们使用了 ITfoxtec 库版本 1.2.2。该解决方案正常工作。

我们现在正在集成 4.0.5 版库。我们需要使用 SHA-256 编码。我们使用了 Nugets 的 4.0.5 库。根据实现示例https://github.com/ITfoxtec/ITfoxtec.Identity.Saml2。

我们在 中更改AccountController、添加App_Start \ IdentityConfig.cs和添加了IdentityConfig.RegisterIdentity()调用Global.asax。

问题：提供程序请求中缺少 SigAlg 和 Signature 参数。

1.2.2版本库ITfoxtec、SAML tracker

4.0.5版本库ITfoxtec、SAML tracker

我们设置参数：

• "Saml2:IdPMetadata" = "/App_Data/metadata.xml"
• "Saml2:Issuer" value = "http://xxx"
• "Saml2:SignatureAlgorithm" = "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"
• "Saml2:SingleSignOnDestination" = "https://yyy/oamfed/idp/samlv20"
• "Saml2:SingleLogoutDestination" = "https://yyy/oamfed/idp/samlv20"
• "Saml2:SigningCertificateFingerPrint" = "5d223463130bd1e290f1ae8dc064d1c48ab517c2"
• "Saml2:CertificateValidationMode" = "None"
• "Saml2:RevocationMode" = "NoCheck"

该参数"Saml2:SigningCertificateFingerPrint"是自定义参数，我们从本地存储加载证书：

问题：为什么请求中缺少 SigAlg 和 Signature 参数？配置不好？执行不好？

请帮忙 嗯谢谢DM

再会，

我们使用了 ITfoxtec 库版本 1.2.2。该解决方案正常工作。

我们现在正在集成 4.0.5 版库。我们需要使用 SHA-256 编码。我们使用了 Nugets 的 4.0.5 库。根据实现示例https://github.com/ITfoxtec/ITfoxtec.Identity.Saml2。

SAML 请求已成功发送。到达 SAML 响应。在行binding.ReadSamlResponse(Request.ToGenericHttpRequest(), saml2AuthnResponse)中的方法AssertionConsumerService()上抛出异常；.

抛出异常：ITfoxtec.Identity.Saml2.Saml2RequestException：“不完全是一个断言元素。”

这是我的 SAML 回复：

此 SAML 响应不是正确的 SAML？使用库 1.2.2，接受了相同的 SAML 响应。为什么使用 4.0.5 库时不接受？

请帮忙。嗯，谢谢。DM

我正在尝试签署（ITfoxtec Identity SAML2）SAMLRequests 并使用 Auth0 进行测试，但在 Auth0 端出现以下错误：

invalid_request：PEM_read_bio_PUBKEY 失败

我在他们的配置中填写了公钥。

这是我生成密钥的方式：

然后在代码中：

在浏览器中，我被重定向到包含签名查询参数的正确 URL，因此它似乎得到了正确处理，但 Auth0 似乎无法读取它。

我错过了什么？我是证书部分的新手。

ForgeRock 始终为 SSO 返回 HTTP 500 错误。我在我的 asp.net 核心应用程序中使用 itfoxtec-identity-saml2 进行绑定（重定向）作为 forgeRock 的 IDP，并遵循github中提到的步骤

这是发出的 SAML 身份验证请求

ForgeRock 向我提出了 2 个问题

1. 我可以在请求 SAML 中使用 samlp 和 saml 标签而不是 saml2p 和 saml2 标签吗
2. 身份验证请求 SAMLf 中未提及绑定

错误信息

来自 ForgeRock 的 HTTP 500 错误

我正在使用库 ITfoxtec Identity SAML 2.0 通过 ASP.Net 4.6 MVC 应用程序和仅支持http-redirect单次注销的第 3 方 IdP 来实施 SAML 2.0。我可以登录，但我无法让单次注销工作。该示例仅用于http-post注销。是否有任何公开可用的示例代码显示如何使用 实现单次注销http-redirect？

提前感谢您的帮助！