问题标签 [saml-2.0]

我的代码以 xml 格式接收 saml 响应。我需要验证签名以确认响应未被篡改，并且我还需要确认这来自受信任的来源。（在设置文件中，我有信任证书的证书指纹和颁发者名称）。我正在使用组件空间工具，我可以在其中调用 GetCertificate() 从 xml 文件中获取 X509Certificate2。

要验证签名的 xml，我是否需要将此证书安装到证书存储区？是否可以使用您从 xml 本身构建的证书来验证 xml 签名文档？

我正在尝试使用 ColdFusion 9 对 SAML 2.0 进行测试。我想要的只是使用 SAML 生成的 xml 并进行处理。我正在关注此处给出的文章http://blog.tagworldwide.com/?p=19（存档版本）

但是当我启动 xmlSignatureClass ( xmlSignature = xmlSignatureClass.init(docElement.getElementsByTagNameNS("http://www.w3.org/2000/09/xmldsig","Signature").item(0),javacast("string",""));) 时出现错误。

我的测试代码如下 -

我得到的错误是 -

有谁曾在 ColdFusion 的 SAML 服务提供商方面工作过？

谢谢，美国航空航天局

我有一个使用 ACS 作为身份验证提供程序的 MVC 网站。身份验证过程运行良好。我想调用一个需要身份验证的 WCF 服务，我想传递一个 RST 令牌，但我不知道如何创建它

我只是想知道在使用 Salesforce 实现 SAML SSO 时，我意识到我将证书上传到了 SP 端（即 Salesforce），但是当我们发送签名的 SAML 响应时，我可以看到它已经包含证书。

为什么要提前与 SP 共享证书？

我有一个来自我的应用程序 IdP 的有效 SAML 2 令牌：

当我尝试使用如下 WIF 代码读取它时，出现以下错误：

无法从具有 BinarySecretSecurityToken 的“urn:oasis:names:tc:SAML:2.0:protocol”命名空间的“Response”元素中读取令牌，并带有“”ValueType。如果预计此元素有效，请确保将安全性配置为使用指定名称、命名空间和值类型的令牌。

这是我正在使用的代码，其中有一条注释显示它失败的地方

问题是 XML 命名空间异常，但我不知道如何“确保将安全配置为使用指定名称、命名空间和值类型的令牌”

有人可以指出我正确的方向吗？

因此，我看到 SAML 2.0 sp 启动的配置有几个不同的实现配置文件：

1. POST-POST
2. 重定向-POST
3. 工件-POST
4. 后工件
5. 重定向工件
6. 神器-神器

各有什么优势？我们正在实施一种 sp 启动的方法，从最终用户的角度来看，每个配置文件的体验似乎是相同的，但我担心安全隐患。一个比另一个更安全吗？

顺便说一句...我们正在将 OpenAM 作为我们的 IdP 并将 SimpleSAMLphp 作为我们的 SP 库。如果您知道该设置仅支持特定配置文件，我也很想知道。

我有一个 MVC 4 应用程序从发起 IdP 接收 SAML2 令牌。我可以在令牌到达时看到它，并且可以对其进行解密。但是，我想使用 WIF 3.5 执行此操作，并且当我尝试使用 WSSecurityTokenSerializer 时似乎遇到了 SAML 命名空间问题，如下所示：

System.Xml.XmlException 未被用户代码处理 HResult=-2146232000 Message=Cannot read the token from the 'Response' element with the 'urn:oasis:names:tc:SAML:2.0:protocol' namespace for BinarySecretSecurityToken, with a ' ' 值类型。如果预计此元素有效，请确保将安全性配置为使用指定名称、命名空间和值类型的令牌。Source=System.ServiceModel LineNumber=0 LinePosition=0 StackTrace：在 System.ServiceModel.Security.WSSecurityTokenSerializer.ReadTokenCore(XmlReader reader, SecurityTokenResolver tokenResolver) at System.IdentityModel.Selectors.SecurityTokenSerializer.ReadToken(XmlReader reader, SecurityTokenResolver tokenResolver) 在 SamlHandlingTests。在 g 中的 SamlTests.TestMethod1()：

我在这里看到了StackOverflow 问题的帖子，但直接使用 XML 做事的最终解决方案不适合我，因为我需要能够将其作为标准 IdP 发起的解决方案运行。

因此我有两个问题：

1. 有没有人设法用 WIF 克服这个错误？（我不需要 WIF 扩展，因为我只关心处理 SAML2 令牌，而不是协议。

2. 要在 IdP 发起的环境中使用 WIF，我知道不需要配置，我只需关闭身份验证并检查传入的令牌。但是，我更愿意在完整的 WIF 管道中检查令牌，但这需要配置。如何配置 WIF 以在此 IdP 启动的环境中运行？

非常感谢

布赖恩

我们正在考虑在我们的门户上使用 SAML 2.0 实施登录设施。但是 SAML 2.0 的使用在增加还是我应该使用任何替代技术？

We would like to use SAML 2.0 for a Single Sign On solution. As a typical Microsoft shop, we prefer to use Microsoft components as much as possible. Windows Identity Foundation supports SAML 2.0, but the extension is still in Community Technology Preview (CTP) for more than a year, with no information anywhere on future course. See http://blogs.msdn.com/b/alikl/archive/2011/05/16/windows-identity-foundation-wif-extension-for-saml-2-0-protocol-community-technology-preview-ctp.aspx

I came across an inspiring article by Michèle Bustamante: http://www.devproconnections.com/article/federated-security/generate-saml-tokens-using-windows-identity-foundation She actively promotes WIF + SAML 2.0, but nowhere in the article she talks about CTP or final release. Neither could I reach her for a clarification.

With this background, is it safe to use WIF Community Technology Preview for SAML 2.0 or stick with SAML 1.1? Does SAML 2.0 offer significant advantage over SAML 1.1? Is the future of SAML 1.1 in question?

Any other alternatives?

我对 Symfony2 比较陌生。我已经使用 Symfony2 的内置安全机制构建了一个系统，通过对数据库中的用户进行身份验证。让我们称这个系统为“B”

在使用相同凭据的不同服务器上的 asp.net 中有一个应用程序（我已经从该系统复制了 users 表）。让我们将此系统称为“A”。用户是否可以单击 ASP 应用程序中的链接将他们重定向到 Symfony2 应用程序并自动验证他们而无需重新输入登录凭据？

我对系统“A”的编程控制有限。是否有可能有一个单一/静态/预定义的加密用户凭据，可以从系统 A 用于对系统 B 上的用户进行身份验证（当然提供用户类型作为数据参数，以便我可以将系统 B 中的用户限制为他/她授权的任务）。一旦通过身份验证，用户应该能够直接与 symfony2 应用程序交互，就像他们使用系统 B 的登录页面登录一样。

更清楚地说，这是事件的流程：

1. 用户登录到 ASP.NET 系统。
2. 用户单击链接以重定向到 Symfony2 应用程序
3. 用户自动通过身份验证，并根据他对 Symfony2 应用程序的角色获得访问权限

请注意，我无法在 Symfony 服务器上维护用户数据库。我只会有关于可用的不同用户类型的信息。

我查看了 Symfony2 方法的自定义身份验证提供程序，但不确定它是否能解决将客户端/用户完全重定向到 Symfony2 应用程序的目的。它看起来更像是一种 Web 服务身份验证方法，但我可能错了。

SAML 是实现这一目标的更好选择吗？