問題タブ [opensaml]

アサーションではなく、応答に署名することで SAML 2.0 を実装しようとしています。アサーション レベルで署名を受け入れる既存のベンダーが 3 つありますが、新しいベンダーがプロトコル/レスポンス レベルで署名を要求しています。私は約8時間グーグルとデバッグを行ってきましたが、私が間違っていることの有効な例を見つけることができません. 以下のコードは、私が何をしているかを明確に示しています。最後の 10 行程度は、(if / else 内で) 実装した違いです。また、XML で SignatureValue と DigestValue が両方とも空であることにも気付きました。誰かが明確なドキュメント、またはさらに良いことに、openSAML を使用した動作中の応答署名の例を教えてもらえますか? この時点で、どんな助けでも大歓迎です。

更新: 上記のコードで取得した XML には、以下のように signatureValue または Digest Value が含まれていませんでした..

Signer.signObject(signature); を移動した後。アサーションが応答に添付された後の時点で、次の XML を受け取ります。

Eclipseを使用してOpenSAMLを使用してAndroidプロジェクトを試しています。ビルドパスに必要なすべてのjarファイルを追加しました。これで、プログラムをAndroidアプリケーションとして実行すると、次のエラーが表示されます。

少しググったが何も出なかった。このエラーはどういう意味ですか？

IDプロバイダー（IdP）、サービスプロバイダー（SP）、およびリダイレクトを介したブラウザー間でどのように渡されるかについてのフローチャートをたくさん見てきました。しかし、今は不必要に思えるので、何かが足りないのはわかっています。

SAMLアーティファクトを使用しない場合と比較してSAMLアーティファクトが必要な（または非常に役立つ）ユースケースを誰かに教えてもらえますか？

ありがとうございました。

会社とクライアントの間にSAMLを実装するタスクが割り当てられました。OpenSAMLの使用を検討していましたが、Mavenプロジェクトのセットアップに苦労しています。

依存関係を追加します：

しかし、pomファイルにエラーがあります：アーティファクトxerces：xml-apis：jar：1.4.01がありません

Mavenリポジトリでこの依存関係を見つけることができません。OpenSAMLサイトをチェックすると、次のように表示されます。

MavenベースのプロジェクトでのOpenSAMLの使用

以下は、Mavenベースのプロジェクト内でOpenSAMLを使用するために必要な情報です。Mavenリポジトリ： https：//build.shibboleth.net/nexus/content/repositories/releasesグループID：org.opensamlアーティファクトID：opensaml

しかし、pomファイルでそのリポジトリを構成しても、依存関係を見つけることができません。

誰かがMavenにOpenSAMLをセットアップして助けてくれる人はいますか？

OpenSAML で X509Data オブジェクトに証明書を追加しようとしています。ただし、これを行うと、証明書が 2 回追加されたように見えます。以下のコードはこれを示しています。私は何かばかげたことをしていますか？

Java で SAML SP を実装しています。
AuthnRequest を SAML 2.0 IDP に送信し、暗号化された応答を取得します。
私の質問は次のとおりです。
応答が実際に IDP からのものであり、ハッカーからのものではないことを確認するにはどうすればよいですか?
署名を検証するだけでは不十分です。これは、送信者が秘密鍵と公開鍵の一致するペアを持っていることを示すだけなので、誰でもかまいません。
そのため、jks ファイルにアップロードする証明書を事前に提供し、応答の ds:X509Certificate 要素から抽出した証明書と毎回比較するために、IDP が必要です。
さて、送信者の証明書とキーストアに保存されている証明書を比較する標準的な方法はありますか?
次のコードを見ました。

それは十分ですか？検証で例外がスローされない場合、送信者の身元が検証されますか?

urn：oasis：names：tc：SAML：2.0：bindings：HTTP-POSTとurn：oasis：names：tc：SAML：2.0：bindings：HTTP-POST-SimpleSignに違いはありますか？

HTTP-POSTバインディングは、署名がSAMLRequest内に含まれていることを前提としていますか？

HTTP-POST-SimpleSignは、署名がXMLから切り離され、個別のPOSTパラメーターとして存在することを前提としていますか？

しばらくの間、私はSAML http-artifactバインディングの解決策を見つけようとしていました:(.私はSpringでOpenSAMLを使用しています.http-postで動作させることができます.私の要件はhttp-artifactです.ie . アーティファクトを取得した後、バックエンド SAOP 呼び出しを介してアサーションをフェッチする必要があります. サンプル構成コードを教えてください. また、SAML1 と SAML 2 の両方で機能させる必要があるかどうかも教えてください.どうぞよろしくお願いいたします。

私は SAML 関連の質問を数多く受けてきましたが、SAML 2.0 がどのように機能するかについてかなりの知識があると思います。私が理解できないことの 1 つは、サービス プロバイダーのメタデータでの役割です。

仕様によると、saml 認証リクエスト (samlp:AuthnRequest) は base64 でエンコードされます。認証リクエストに署名してからエンコードすることが言及されている仕様は見当たりませんでしたか?

誰かがサービス プロバイダーのメタデータ ファイルでの Role の役割を説明できますか?

私はいくつかの保護されたウェブページからのいくつかのデータを解析する必要があるプロジェクトに取り組んでいます。これらのページにアクセスするには、SAML認証フォーム（Shibboleth）を克服する必要があります。この標準をAndroid（Java）に実装できた人はいますか？私はすでにこのスレッドを読んでいます：Android用のSAMLクライアントの実装？ しかし、それは私に良い解決策を与えません。実際、保護されたWebページのデータを解析するには、そのようなページのコンテンツをユーザーに表示させないようにするために、そのデータを取得する必要があります。したがって、WebViewを介してログインすることは、私が本当に必要としていることではありません。