问题标签 [saml]

我正在尝试从下面的 soap 标头示例中添加 saml 2.0 断言节点 - 我在 .net 框架中遇到了samlassertion类型，但看起来它仅适用于 saml 1.1。

我已经研究了好几天，似乎无法在 WCF 中找到一种直接的方法。Web 服务在 Glassfish 上运行，并且是 soap 1.1，我尝试使用所有打包的 wcf 绑定，但无法让它们工作。我开始使用 MessageInspector，并写了一个，但后来意识到必须有更好的方法，WCF 确实提供了一些插入 saml 2.0 断言的方法。我在编写自定义绑定方面取得了最大的进展——我已经能够在soap 标头中获取时间戳和签名节点，但我一生都无法弄清楚 saml 断言。有任何想法吗？

我正在使用 Ruby/Rails 开发 SAML 网关，并且我正在尝试编写一些代码来验证传入 SAML 响应的xml 数字签名与原始服务的 x509 证书。

我的问题：签名取决于经过散列然后签名的 XML 的规范化版本，我无法找到一个 ruby​​ lib/gem，它将按照规范规范化XML。我在 ruby​​forge 上发现了一个超级旧的宝石，它很乱，但如果像 nokogiri 这样的东西支持这种功能，我会更感兴趣（来自 nokogiri 文档，它不支持）。

我已经在谷歌上进行了广泛的搜索，但我想在我去尝试编写自己的版本或重新编写现有的 c14n-r 库之前，我会在这里询问是否有人有任何好的见解。

我有一个支持使用 SAML 1.1 的 Web SSO 的第 3 方程序（换句话说，它已准备好充当服务提供者）。

我们希望根据他们的 Active Directory 凭据为我们的 Intranet 用户实施此 SSO。换句话说，他们已经登录到他们的系统，所以让我们简单地使用这些凭据来促进 SSO。不过，我有点不知所措。

我最初的想法是 IIS / Active Directory 可以很容易地充当身份提供者，因为 IIS 为我们提供了“集成 Windows 身份验证”功能。我认为我们可以创建一个需要集成身份验证的 .NET Web 应用程序，该应用程序只需提取当前用户 ID，构建 SAML 响应，并使用此 SAML 响应将用户重定向回服务提供商以完成 SSO。

但是，我的问题是我根本不知道如何创建此 SAML 响应、所涉及的 X.509 证书等……我想知道我是否对此感到头疼，或者是否创建这个 SAML 响应应该相对容易。

请注意，此 SSO 仅供 Intranet 用户使用，因此无需担心与其他公司/域的联合。

有谁知道 Sharepoint 2010 API 用于添加新的可信身份令牌颁发者（又名身份提供者）？

我可以使用 PS cmdlet New-SPTrustedIdentityTokenIssuer 执行此操作，但我需要从 C# 代码执行此操作。

我想将一个用 Python（使用 Pylons）编写的网站与现有的基于 SAML 的身份验证服务集成。通过阅读有关 SAML 的信息，我相信 IdP（在这种情况下已经存在）将发送一个 XML 文档（通过浏览器帖子）到服务提供者（我正在实现）。服务提供者需要解析这个 XML 并验证用户的身份。

是否有任何现有的 Python 库可以实现此功能？

谢谢，

我正在考虑使用OpenAM（以前的 Sun OpenSSO）保护整个 Java EE 软件平台。在 WebLogic AS 上运行的应用程序将受到JEE 策略代理和具有WS-Security SAML 令牌配置文件的Web 服务的保护。

据我了解，SSOTokenManager使应用程序代码能够检索 OpenAM 的 SSO 令牌。但为了调用受SAML保护的 Web 服务，我需要从 OpenAM 获取 SAML 断言。谁能告诉我该怎么做？

此外，在 Web 服务代码中，我可能需要从 SAML 断言中取回 SSO 令牌。那可能吗 ？

是否需要签署 SAML 令牌？根据架构，似乎不需要签名元素。

代替签署 SAML 令牌，我们需要客户端证书（双向 SSL）来验证消费者是受信任的消费者。这是一个可行的选择吗？

我正在为 SAML 1.1 断言消费者服务开发测试工具。测试必须生成签名的 SAMLResponse 并将其提交给以 Base64 编码的 ACS。ACS 必须能够使用 X509 公共证书验证签名消息。

我能够构建 SAMLResponse，添加必要的断言等。但是当我尝试签署对象时，我遇到了问题。这是我当前代码的片段：

错误发生在倒数第二行。我在控制台中看到以下内容：

虽然不习惯或不安全，但为了这个线程，我提供了我正在使用的公共证书和私钥。一旦问题解决，我当然会重新创建新的。:)

谢谢！

我需要为我们的 Web 应用程序和服务实现 STS-IP 服务器。服务器将需要为以下场景颁发 SAML 令牌：

1. 业务合作伙伴提交他们的 SAML 令牌，该令牌将转换为带有我们应用程序所需声明的 SAML 令牌。此令牌用于访问我们的 Web 应用程序和服务。
2. 我们面向公众的应用程序需要用户登录（通过表单身份验证），然后使用 SAML 令牌访问我们的 Web 应用程序和服务。
3. 我们的客户端（没有 STS 信任）需要向我们的 STS-IP 服务器进行身份验证，获取 SAML 令牌，并使用该令牌来访问我们的 WCF 服务。

在所有 3 个场景中，我们都需要对我们的应用程序和服务使用的 SAML 令牌进行自定义声明。我们的想法是一旦我们识别出用户，我们就会在我们的后端系统中查找他们的授权并附加声明。

在这些场景中，您可以假设后端身份验证存储是自定义实现，身份验证存储在 Active Directory 中，授权存储在数据库中。

所以我的想法是，我们需要使用 Windows Identity Framework 之类的东西创建一个自定义 STS-IP 服务器。但我也一直在读到你不应该这样做，因为这可能需要一些时间。

我可以使用现成的 STS-IP 服务器吗？我所看到的一切都是一个系统到另一个系统之间的映射（SAML 到 SAML 或 AD 到 SAML）。

为什么构建生产就绪的 STS-IP 会“花费很长时间”？我很容易使用 WIF 构建了一个，但我想我不明白这样做的风险。

我有需要使用 SAML 令牌访问 WCF Web 和数据服务的 WinForms 和 ASP.Net 应用程序。

我一直在研究 Windows Identity Foundation (WIF) 以使 WCF 服务能够使用来自 STS-IP 的 SAML 令牌。

在客户端，我是否调用 STS 并获取 SAML 令牌，然后将令牌传递给 WCF 服务？如果是这样，我如何获取令牌然后将其传递给 WCF？

或者

客户端是否将用户的凭据（用户名/密码）传递给 WCF Web 服务，该服务获取 SAML 令牌并执行其操作？

我的理解是 WCF 数据服务使用 REST。那么 SAML 如何与 REST 一起工作？