問題タブ [component-space]

Web アプリケーションで ADFS を使用して SSO を実行しようとしている顧客がいます。ComponentSpace SAML 2.0 ライブラリを使用しています。送信されるアサーションは次のようになります。

ComponentSpace ライブラリは、HTTP ポストから完全な SamlResponse を取得していますが、アサーションは報告されません (つまり、samlResponse.GetAssertions().Count == 0)。ComponentSpace の例を使用すると機能しますが、ComponentSpace ライブラリで構築したすべての要素に「saml:」という接頭辞が付いていることに気付きました (そうあるべきだと思います)。

ComponentSpace ライブラリは、saml: プレフィックスなしでアサーションを見つけることができるはずですか?それとも、正しく送信するように ADFS を構成する方法はありますか?

私たちの IdP は Salesforce.com 組織です。SP はサードパーティの .Net アプリケーションです。開発中に、送信された SAML 応答を検証できないとサード パーティから報告がありました。

ComponentSpaceを使用して SAML 応答を検証することにしました。以下は私たちが試したことです：

最後の2つを除いて、上記のすべてに当てはまります。そう：

1. SAML は有効です
2. SAML には有効な署名があります
3. SAML の公開鍵証明書は、私たちが持っている証明書ファイルと同じです
4. SAML は、証明書ファイルの秘密鍵でも SAML で送信された公開鍵でも署名されていません

3,4 から、Salesforce が署名しているが、別の証明書を使用しているが、応答で間違った公開鍵を送信していると結論付けることができますか?!

編集：サンプルSAMLはこちらhttp://pastebin.com/J8FTxnhJ

私は何が欠けていますか？

コンポーネントスペース SAML を使用して、タブロー サーバーを SP として構成しようとしています。

IDP は私の mvc Web アプリケーションであり、SP はタブロー サーバーです。

彼らが提供しているサンプル コードを使用してメタデータを作成しました。しかし、それはこのエラーで終わります

' HTTP ステータス 500 - org.opensaml.saml2.metadata.provider.MetadataProviderException: IDP が構成されていません。含まれているメタデータを少なくとも 1 つの IDP で更新してください。

立ち往生しており、助けていただければ幸いです。

ありがとう、アニッシュ。

コンポーネント スペース SAML 2.0 ライブラリを使用して、シングル サインオン アサーションをパートナー サイトに送信しています。彼らは、私が SAML アサーションを正しく送信していないと主張しています。ライブラリは高レベルなので、私が台無しにする領域はあまりありませんが、送信する前にメッセージを表示する方法がわかりません。

ページ上のリンクをクリックしたときに、デバッガー (VS) を使用するか、SAML XML トークンを画面に出力したいと考えています。誰も私がこれを行う方法を知っていますか?

ベンダーから提供された公開証明書を使用して Saml アサーションを暗号化しようとしていますが、誰かが正しい暗号化方法を提供してくれます。XML の暗号化に使用される暗号化方式。どんな提案も本当に役に立ちます。

私たちは会社で SAML 2.0 のサポートを実装しようとしています。私たちは、システムにそのような識別をより実際的に実装できるようにするライブラリの長いリスト (ウィキペディアからService Provider) を調べてきました (私たちはです)。

私は最近、.NET 4.5 が WIF (Windows Identity Foundation) を介して SAML 2.0 をネイティブにサポートしていることを知りました。ただし、.NET によるネイティブ サポートがある場合、 ComponentSpaceなどの一般的なサードパーティ ライブラリ(またはそれ以上のもの) の使用を検討する必要がありますか? 使いやすさ、幅広い設定、柔軟性、またはドキュメントに関して何か利点はありますか?

デフォルトの資格情報 (インストーラーにバンドルされている証明書) を使用して、Shibboleth を IdP としてセットアップしました。idp-signing.crt 証明書を使用して SAML 応答に署名していると思います。LowLevelAPI ShibbolethSP サンプル プロジェクトを使用して、「応答の署名を検証する」コードをコメントアウトする限り、Shibboleth IdP 経由でログインできました。Global.asax.cs、Application_Start に SHA-256 XML 署名サポートを追加したことを確認しました。idp-signing.crt ファイルを例のディレクトリにコピーし、それを X509Certificate2 オブジェクトとしてロードして、次のように渡しても、メッセージの署名検証は常に false を返します。

検証を実行するために署名に含まれるキー情報を使用して、2 番目のパラメーターを渡さない場合でもfalse を返します。

この検証が失敗する理由がわかりません。以下は、Shibboleth からポストバックされた SAML 応答です (FOXE によってフォーマットされていますが、それ以外は変更されていません)。

Verify メソッドが常に false を返す理由を教えてください。

ComponentSpace と手動ローリングの SAML ライブラリを評価しています。ドキュメントを最初から最後まで読みました。

これまでのところ、リクエストを手動で記述するよりも時間を節約できることが証明されていますが、私の IDP は要素samlp:Extensionsの追加属性を利用していsamlp:Issuerます。

署名して「送信」する直前に、生成された XML ドキュメントにアクセスして拡張する方法があれば便利です。

私たちの IDP もこの lib を (明らかに) 使用しており、これらの追加の XML ノードをすべて使用しているため、方法があると思います。見えないだけです。

ありがとう、ルーク