问题标签 [opensaml]

我对 java keytool 命令非常熟悉，但我似乎无法弄清楚如何生成 OAEP 填充的 RSA 证书。我正在尝试生成一个来保护 SAML 通道。我觉得我误解了指定填充方法的工作原理。

理想情况下，我最终得到一个使用 RSA SHA256 签名、使用 AES256 加密并且密钥传输算法具有 OAEP 填充的通道。

作为一个附带问题，这是否适用于 opensaml 实现？我不明白为什么不这样做，因为它应该只是一个有效的 X509 证书。

我们有 4 个应用程序。我们希望在这些应用程序中实施 SSO。我对此有几个疑问。我们被建议使用opensaml。

查询一：

用户输入的用户名和密码由客户端（Ex.Front-end）发送给中间件，然后中间件将这些信息发送给SSO服务器，那么这种情况下用户是不是principal？？中间件是服务提供者吗？SSO 服务器是身份提供者吗？

查询 2：

现在，当用户登录其中一个应用程序时，我们应该连接到身份提供者以启动 SSO，我们应该将哪些参数（强制）发送到 SSO 服务器？

查询 3：

当从 SSO 服务器获得响应后，中间件是否应保留令牌以备将来参考？

问题 4：

现在，如果另一个用户点击另一个应用程序，那么应该确定有 sso 正在运行。如何识别？中间件是否应该为此访问 SSO 服务器？

请解决上述问题。

我用 Java 实现了一个 SAML SP。
为了验证 SAML 响应的证书，
我从 SAML 响应中提取 X509Certificate 元素，并根据我预先上传 IDP 证书的 Java 密钥库文件对其进行验证。
我使用以下代码来验证证书：

这适用于根 CA 的证书。
当证书有证书路径时，验证失败。
一种可能的处理方法是将路径中的所有证书手动上传到
具有不同别名的 JKS 文件中，然后将它们提取到如下列表中：

有没有更直接的方法来做到这一点？
是否可以从证书本身中提取证书路径？

谢谢！

I'm using the opensaml for our application that acts as Service Provider. So far, I have been manually creating the SP Metadata.
Is there example in Java to show how to programatically generate Service Provider Metadata ?

我已经查看了类似的问题并阅读了几篇关于 SAML 2.0 的文章，但我仍然无法理解 SAML Auth Request。

我已经实施了几个基于 SAML 的 SSO 解决方案，我的公司是 IdP（身份提供商）。我们一直通过 SAML 响应将用户从我们的网站发送给第三方：

1. 用户登录我们的网站。
2. 用户点击我们网站上的特殊链接。
3. 我们准备 SAML 响应 XML。
4. 我们用我们的私钥对它进行电子签名。
5. 将其作为 HTML 表单中的隐藏字段连同“RelayState”参数一起发送回我们用户的浏览器。
6. 我们将此表单自动发布到 SP（服务提供商）URL。

而已。

SAML 2.0 文章（例如，关于 SAML 2.0 的 Wikipedia 概述文章）表明我们缺少一个步骤：“SAML Auth Request”。似乎 SP 需要通过首先向 IdP（我们）发送“SAML Auth Request”来启动 SSO，然后我们应该使用 SAML Response 对其进行响应。

SP 如何决定何时初始化 SSO？SP 甚至不知道我们会按照他们的方式发送用户。用户当前已登录我们的网站，何时单击该链接取决于用户，这将“神奇地”在 SP 网站中对他们进行身份验证。

谢谢！

PS 我理解 SAML 2.0 是“既定的行业标准”，但我使用它的次数越多，我就越觉得它是一种矫枉过正的做法。由于其复杂性，有大量不同的不兼容实现（根据我的经验）。每次我们与新合作伙伴进行 SSO 时——这都是一种痛苦。大公司通过销售“开箱即用”的 SAML 解决方案赚了很多钱，没有人知道如何正确配置和排除故障，因此人们几乎被迫花钱请昂贵的承包商来进行设置。公司希望能够雇佣低薪员工来支持那些过于复杂的 SAML 解决方案。在与第三方建立 SSO 时，我经常与那些不知道 SSO 是什么的人打交道，他们只是被训练点击按钮并通过电话向我阅读神秘的错误消息。这都是由于 SAML 被过度设计。但是，嘿 - 有一个好的一面：我得到了很好的报酬，因为我对 SAML 的理解足够好，至少可以让它发挥作用。:)

请SAML专家帮忙！！！！

我对 SAML 和 JSP 非常陌生。我想使用 Java（环境 linux，Tomcat6.0）中的 Opensaml 库验证 IDP（身份提供者）发起的 SAML 响应令牌，并检索发送的属性信息，例如用户 ID、用户名、电子邮件。SAML 响应未加密，我有idp 的信任证书安装在我的 java 密钥库中。SAML 令牌配置文件是“Web 浏览器 SSO”，它使用 HTTP-POST 绑定。证书中有一个公钥。我需要一个私钥来验证吗？步骤是什么为成功验证完成？只需数字签名验证就足以信任来源？我应该进行配置文件验证还是其他什么？下面给出了我将从 IDP 收到的 SAML 响应。如果您需要更多信息，请告诉我？对不起，如果我没有提供足够的信息。请帮助我...

问题：

我正在使用 OpenSAML 构建一种对发布到我们服务器的 SAML 2.0 响应进行身份验证的方法。我已经完成了大部分工作，能够访问断言的各个方面。唯一的问题是，当我尝试使用下面的公钥验证签名时，它指出“签名没有针对凭证的密钥进行验证”。

有任何想法吗？

公钥：

签名：

执行：

我们希望为组织提供将其内部 Active Directory (AD) 与我们的外部云产品集成的能力。

我们的客户端有一个使用 ADFS 的联合服务器，我们知道要在此级别上与多个客户端一起工作，我们需要拥有自己的 ADFS 服务。这是否意味着我们可以使用 SCIM 作为替代品？

是否可以在一个地方（如任何中间件）配置一个通用的 Shibboleth SP，并且驻留在不同服务器的不同域中的所有应用程序都可以使用它进行 sso 身份验证。并且所有应用程序都可以通过通用 SP 相互通信。你觉得这个设计有什么缺陷吗？

我想使用 spring-ws-security 来保护我的 Web 服务Wss4jSecurityInterceptor和签名。但是有一个依赖冲突使这个系统无法运行。spring-ws-security:2.1.2.RELEASE似乎也不可行。

有没有办法解决这个问题？

提前谢谢了。