HTTP 重定向绑定 SAML 请求

2023-11-24

假设执行 SP-init SSO，使用 HTTP-Redirect Binding 而不是 HTTP-POST Binding，并且需要签名的 AuthnRequest。这意味着在 URL 中包含 SAMLRequest。

Q1.我需要在 URL 中包含签名还是仅嵌入 SAMLRequest 中？

重定向网址是

http://idp.example.com/SSOService.php?SAMLRequest={val1}&Signature={val2}&SigAlg={val3}

与我的 SAMLRequest（无签名）

<samlp:AuthnRequest ID="" Version="2.0" IssueInstant="2015-05-22T02:47:38Z" Destination="" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" AssertionConsumerServiceURL="" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"></saml:Issuer>
    <samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" AllowCreate="true" />
    <samlp:RequestedAuthnContext Comparison="exact" />
    <saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef>
</samlp:AuthnRequest>

http://idp.example.com/SSOService.php?SAMLRequest={val1}

与我的 SAMLRequest（嵌入签名）

<samlp:AuthnRequest ID="" Version="2.0" IssueInstant="2015-05-22T02:47:38Z" Destination="" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" AssertionConsumerServiceURL="" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"></saml:Issuer>
    <samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" AllowCreate="true" />
    <samlp:RequestedAuthnContext Comparison="exact" />
    <saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef>
    <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
        <SignedInfo>
            <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
            <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
            <Reference URI="">
                <Transforms>
                    <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
                </Transforms>
                <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
                <DigestValue>v5h...</DigestValue>
            </Reference>
        </SignedInfo>
        <SignatureValue>M4...</SignatureValue>
    </Signature>
</samlp:AuthnRequest>

Q2。将 base64 和 url 编码为 url 参数的值是否正确？

Q3。 X509 证书包含在我的 SP 元数据中，它是 base64 编码的吗？

我有一个证书的 cert.pem 文件，我是否需要对其进行 base64 编码，或者直接包含证书。

-----BEGIN CERTIFICATE-----
MII...
-----END CERTIFICATE-----

SP元数据.xml

<KeyDescriptor use="signing">
            <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:X509Data>
                    <ds:X509Certificate>MIIFnzCCA4egAwI...</ds:X509Certificate>
                </ds:X509Data>
            </ds:KeyInfo>
        </KeyDescriptor>

A1：使用重定向绑定时，您将签名放在 URL 查询参数中

A2：所有 URL 查询参数都应进行 url 编码，除此之外，仅 SAML 请求应进行压缩和 Base64 编码。

A3：使用 PEM 格式，因为它已经进行了 Base64 编码，但省略了开始和结束分隔符（----BEGIN-- 和 ----END CERT...）

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

singlesignon

x509certificate

saml20

HTTP 重定向绑定 SAML 请求的相关文章

将 Java Web 应用程序与 SAML SSO 集成

我有一个 Restful Java Web 应用程序将部署到许多不同的环境在我的控制范围之外这些环境将使用 SAML 2 0 SSO 解决方案我的应用程序我认为是服务提供商需要存储用户生成的状态并使用内部业务逻辑来确定允许哪
在 C# .NET 4.5 中使用 SAML 2.0

我正在尝试使用纯 NET 无外部类控件帮助程序来创建 SAML 消息我在互联网上找到了一些代码这就是我所拥有的 private static SamlAssertion createSamlAssertion Here we cr
以编程方式更改 Sustainsys.Saml2 HttpModule 配置

我有一个遗留的 Web Forms ASP Net 项目我刚刚成功集成了该项目Sustainsys Saml2 https saml2 sustainsys com en stable index html 我想知道如何以编程方式进行配置
在 Jetty WebAppContext 之间实现 SSO

我正在开发的 Jetty 9 应用程序会自动扫描一组 JarFiles 中的 web xml 然后以编程方式将包含的 Web 应用程序导入为 WebAppContext 我需要在各个 Web 应用程序之间实现单点登录如以下 Jetty 6
Google G Suite SAML SSO 域登录页面

我正在使用 Google G Suite 并创建了一个使用 G Suite SAML 管理用户登录的应用程序看一切都很顺利但是当用户没有登录我们的 G Suite 帐户并且也登录了他们自己的 Google 帐户时我遇到了问题在这种
如何访问证书扩展（信息）值？

我有一个由变量访问的 X509Certificate 当我尝试获取证书的详细信息时我设法通过提供的函数轻松获取 CriticalExtensions 值但是我想要达到的是存储在证书中并由对象 ID 2 5 29 32 表示的非关键扩展
generateCertificate() 时出现证书异常

我正在开发我的 Android 应用程序我正在尝试生成X509证书来自我的证书文件流的实例但是得到CertificateException 这是我的简单代码 import java security cert CertificateEx
如何使用 Spring 和 Active Directory 实现单点登录

我有一个基于 Spring 的 Web 应用程序我想在其上实现单点登录解决方案基本流程是 1 用户登录 Windows 工作站台式电脑根据组织的 Active Directory 进行身份验证 2 用户打开浏览器并导航到 Sprin
在 iOS6 上切换设备上的 FB 帐户时 Facebook 授权失败

我正在使用 Facebook SDK 3 1 1 在我的 iOS 应用程序中实现 FB Connect 在简单的情况下无论是使用新的 FB 集成在 iOS 上登录还是通过 Web 视图返回到正常授权在这两种情况下我都没有安装本机 F
ADFS/SAML2.0 - 如何通过联合元数据设置声明规则？

我正在尝试针对 Web 应用程序的 Windows ADFS 实施 SAML 2 0 身份验证到目前为止我通过手动配置依赖方信任和分配的声明规则成功地从 ADFS 进行了身份验证并获取了我需要的内容现在我想为我的应用程序提供联合元
使用代码将 X509 证书添加到存储区

此代码会将 x509 cer 证书文件添加到证书存储中使用System Security Cryptography X509Certificates var filename Cert cer var cert new X509Certi
多个网站，单点登录设计[关闭]

Closed 这个问题是基于意见的 help closed questions 目前不接受答案我有个问题我最近一直在做一些工作的一个客户有一系列具有不同登录机制的网站他正在寻求慢慢迁移到单点登录他的网站机制全部写在asp net m
在两个站点之间共享身份验证 cookie/会员提供商 - 第二个站点从不进行身份验证

我在 Win2008R2 IIS7 上有两个 ASP NET 4 0 站点例如demo1 site domain com 和 demo2 site domain com 我想要单点登录我已经四处搜索并配置了两个站点的 web confi
Java 客户端与具有相互证书的 WCF 服务互操作 - 无法解析用于验证签名的 KeyInfo

例外 MessageSecurityException 无法解析用于验证签名的 KeyInfo KeyInfo SecurityKeyIdentifier 我必须设置一个 WCF 服务来接收来自 Java 客户端的 SOAP 调用该客户端
如何在 C# 中通过指纹查找证书

我正在使用此代码通过指纹查找证书证书存在于个人证书存储中的证书管理器中但此代码未找到该证书请告诉我我哪里做错了 namespace ConsoleApplication1 class Program static void Main
Keycloak：使用新的 Chrome SameSite/Secure cookie 强制执行时，令牌请求中缺少会话 cookie

最近我使用 Keycloak 的应用程序在身份验证后停止处理 400 令牌请求到目前为止我发现在令牌请求中 Keycloak cookie AUTH SESSION ID KEYCLOAK IDENTITY KEYCLOAK SESS
Spring Security SAML2 使用 G Suite 作为 Idp

我正在尝试使用 Spring Security 5 3 3 RELEASE 来处理 Spring Boot 应用程序中的 SAML2 身份验证 Spring Boot 应用程序将成为 SP G Suite 将成为 IDP 在我的 Maven
Spring saml：密钥太长，无法展开：invalidkeyexception

我的机器上只安装了一个 JDK 并且代码指向同一个 JDK 我在两个文件夹 C Program Files Java jdk1 6 0 25 jre lib security 和 C Program Files Java jre6 lib
Azure Active Directory - 自定义策略错误

我已按照此处提供的指南在 Azure AD B2C 中设置了自定义策略 https learn microsoft com azure active directory b2c active directory b2c setup sf a
相同的 SAML 响应是否应该被接受两次、多次？

只要在允许的 SAML 令牌生命周期内 SAML 联合软件是否应该接受相同的 SAML 响应简单来说 IDP 识别提供商发出 SAML 响应然后 SP 服务提供商接受处理它第一次使用后是否可以立即重新使用相同的未修改的 SAML

随机推荐

IEquatable 和仅仅重写 Object.Equals() 有什么区别？

我想要我的Food类能够在它等于另一个实例时进行测试Food 稍后我将针对列表使用它并且我想使用它List Contains 方法我应该实施IEquatable
使用 Javascript 语法高亮代码 [关闭]

就目前情况而言这个问题不太适合我们的问答形式我们希望答案得到事实参考资料或专业知识的支持但这个问题可能会引发辩论争论民意调查或扩展讨论如果您觉得这个问题可以改进并可能重新开放访问帮助中心以获得指导您可以推荐哪些 Javas
如何在前台运行 GcmListenerService

我的 GCM 服务有时会出现问题当我的智能手机的 RAM 自动清除时该服务会关闭请阅读this如果您需要更多详细信息据我了解如果我将服务设置为在前台运行它应该有助于系统用 RAM 删除它方法为Service class onS
HTML5 与 HTML4 - h1 标签呈现有额外的空间 - 如何删除？

我选取了一个 DTD 为 HTML4 Transitional 的页面并将文档类型更改为h1 和其下方的 div 之间会出现额外的空间我没有对标记或 CSS 进行任何其他更改 JSFiddle 示例 http jsfiddle net
是否有不需要空终止字符串的 strtol 等效项？

是否有类似于 strtol 的标准 C 函数它将采用 char 和非空终止字符串的长度我知道我可以将字符串复制到空终止区域但出于效率原因这是不可取的标准库中没有这样的函数您要么必须使用临时缓冲区方法要么从头开始编写自己的函数
Python导入csv到列表[重复]

这个问题在这里已经有答案了我有一个包含大约 2000 条记录的 CSV 文件每条记录都有一个字符串和一个类别 This is the first line Line1 This is the second line Line2 This
iOS 版 Google 地图，swift - 如何显示标记之间的整个折线？

我正在尝试在谷歌地图视图中拟合一条折线折线是通过谷歌地图方向API中的overview polyline获取的想知道如何将编码的折线转换为可以使用的东西我需要使折线适合地图视图我发现要做的就是适应边界以显示所有标记但不显示整个折线
将代码与两个 subversion 存储库同步

首先介绍一下背景我正在使用来自远程 SVN 存储库的基本代码不受我的控制代码还没有标记所以我总是需要跟上主干由于多种原因最重要的是我们对代码的本地扩展具有利基性质并且旨在解决使用代码的项目的特定问题我无法使用远程存储
Kafka I/O 错误 java.io.EOFException: null

我正在使用 Kafka 0 8 2 0 Scala 2 10 在我的日志文件中我间歇性地看到以下消息这似乎是一个连接问题但我正在本地主机中运行这两个问题这是无害的警告消息还是我应该采取措施来避免它 2015 10 30 14 12
从图表系列获取主题颜色信息

我有一个使用一种颜色的图表系列它可以是msoThemeColorAccent lt gt 或任何其他用于标记线另一种颜色用于标记填充可以是msoThemeColorAccent lt gt 打火机 x 或任何其他并且没有线条我想
find 命令查找文件并将它们连接起来

我正在尝试查找所有类型的文件 gz and cat他们到total gz我想我已经很接近这一点了这是我用来列出所有的命令 gzfiles find home downloaded maxdepth 3 type d name exec b
Toast：在 Android 中集成 Google Plus 时发生内部错误

我正在将 Google Plus 集成到我的 Android 应用程序中我已经在 Google API 控制台中创建了该项目我创建了 OAuth 客户端 ID 并仔细检查了包名称和密钥库 SHA1 但两者都是正确的但我仍然得到Inte
Quartz 中每 50 秒执行一次 Cron 表达式

我每 50 秒使用 Quartz 和 cron 表达式运行我的作业 Cron Expression 0 50 发生的情况是我的工作以秒为单位运行 50 60 50 60 而且不是每 50 秒一次并且不在第二个 0 处运行从 0 开始每
获取 JSON 对象的大小

我有一个由 AJAX 请求返回的 JSON 对象但我遇到了一些问题 length因为它不断返回undefined 只是想知道我是否正确使用它 console log data length console log data phones
Apache Velocity：是否有一种标准方法可以从命令行验证模板的正确性？

我们的网站使用阿帕奇速度模板语言我们的内容管理系统已经检查所有生成的 XML 文档的格式是否良好我们被要求在将文件推送到实时站点之前检查文档以捕获 Velocity 语法错误是否有一种标准方法可以从命令行验证 Velocity 模板的
损失与准确率之间的关系

在训练 CNN 模型时实际上有可能在每个时期减少损失并降低准确度吗我在训练时得到以下结果有人可以解释发生这种情况的可能原因吗至少有 5 个原因可能导致此类行为异常值假设您有 10 张完全相同的图像其中 9 张属于类别A一个属于
所有 Python 类都应该扩展对象吗？ [复制]

这个问题在这里已经有答案了我发现以下两项都有效 class Foo def a self print hello class Foo object def a self print hello 所有 Python 类都应该扩展对象吗不扩
传递给宏的变量在错误的命名空间中解析？

The Noir macro defpage给我带来了一点麻烦我正在尝试构建与此类似的调用 defpage post some url data some stuff 但是不要使用关键字 post我想使用一个变量如下所示 def my
存储过程版本控制

如何管理存储过程的修订我们在 SQL Server 2005 上有一个 BI 解决方案包含数百个存储过程将这些内容导入 Subversion 的好方法是什么您推荐使用哪些工具将存储过程编写为文件毫无疑问您可以购买许多现成的产品
HTTP 重定向绑定 SAML 请求

假设执行 SP init SSO 使用 HTTP Redirect Binding 而不是 HTTP POST Binding 并且需要签名的 AuthnRequest 这意味着在 URL 中包含 SAMLRequest Q1 我需要在 U

HTTP 重定向绑定 SAML 请求

HTTP 重定向绑定 SAML 请求 的相关文章

随机推荐

热门标签

HTTP 重定向绑定 SAML 请求的相关文章