問題タブ [opensaml]

私は Java keytool コマンドにかなり精通していますが、OAEP が埋め込まれた RSA 証明書を生成する方法を理解できないようです。SAML チャネルを保護するために生成しようとしています。パディングアプローチの指定がどのように機能するかを誤解しているように感じます。

理想的には、RSA SHA256 で署名され、AES256 で暗号化され、キー転送アルゴリズムに OAEP パディングがあるチャネルになります。

副次的な質問として、これは opensaml の実装で機能しますか? 関係する限り、これは有効な X509 証明書にすぎないため、理由がわかりません。

Java で SAML SP を実装しています。
SAML 応答の証明書を検証するために、SAML 応答
から X509Certificate 要素を抽出し、事前に IDP 証明書をアップロードした Java キーストア ファイルに対して検証します。
次のコードを使用して証明書を検証します。

これは、ルート CA である証明書に対しては正常に機能します。
証明書に認証パスがある場合、検証は失敗します。
これを処理する可能な方法は、すべての証明書をパスから
さまざまなエイリアスを持つ JKS ファイルに手動でアップロードし、次のようなリストに抽出することです。

それを行うためのより簡単な方法はありますか？
証明書自体から証明書パスを抽出することは可能ですか?

ありがとう！

同様の質問に目を通し、SAML 2.0 に関するいくつかの記事を既に読みましたが、それでも SAML Auth Request を理解できません。

私の会社が IdP (ID プロバイダー) である場合に、いくつかの SAML ベースの SSO ソリューションを実装しました。私たちは常に、SAML レスポンスを介して Web サイトからサードパーティにユーザーを送信してきました。

1. ユーザーは当社のウェブサイトにログインします。
2. ユーザーは、当社の Web サイトの特別なリンクをクリックします。
3. SAML レスポンス XML を用意しています。
4. 秘密鍵で電子署名します。
5. 「RelayState」パラメーターとともに、HTML フォームの非表示フィールドとしてユーザーのブラウザーに送り返します。
6. このフォームを SP (サービス プロバイダー) の URL に自動 POST します。

それでおしまい。

SAML 2.0 の記事 (たとえば、SAML 2.0 に関するウィキペディアの概要記事) では、 "SAML Auth Request"というステップが抜けていることが示唆されています。SP は、最初に「SAML Auth Request」を IdP (私たち) に送信して SSO を開始する必要があるようです。次に、SAML Response で応答することになっています。

SP は SSO を開始する時期をどのように決定しますか? SP は、私たちがユーザーを自分のやり方で送ることさえ知りません。ユーザーは現在、当社の Web サイトにログインしており、そのリンクをクリックするタイミングはユーザー次第であり、SP Web サイトで「魔法のように」認証されます。

ありがとうございました！

PS SAML 2.0 が「確立された業界標準」であることは理解していますが、それを使用すればするほど、やり過ぎだと感じます。その複雑さのために、互換性のないさまざまな実装がたくさんあります (私の経験から)。新しいパートナーと SSO を行うたびに、それは苦痛です。大企業は「すぐに使える」SAML ソリューションを販売して莫大な利益を上げていますが、適切な構成とトラブルシューティングの方法を誰も知らないため、すべてをセットアップするために高価な請負業者に支払うことを余儀なくされています。企業は、これらの複雑すぎる SAML ソリューションをサポートするために、低賃金の従業員を雇用できることを望んでいます。サード パーティと SSO をセットアップするとき、私はよく、それが何であるかを知らない人々とやり取りします。彼らは、ボタンをクリックして電話で不可解なエラー メッセージを読むように訓練されているだけです。これはすべて、過剰に設計された SAML によるものです。しかし、明るい面もあります。私は SAML を十分に理解しており、少なくともそれを機能させることができるので、かなりの報酬を得ることができます。:)

SAML の専門家が助けてください!!!!

SAML と JSP は初めてです。java(Environment linux、Tomcat6.0) の Opensaml ライブラリを使用して IDP (ID プロバイダー) が開始した SAML 応答トークンを検証し、ユーザー ID、ユーザー名、電子メールなどの送信された属性情報を取得します。SAML 応答は暗号化されておらず、 Java キーストアにインストールされた idp の信頼証明書。SAML トークン プロファイルは「Web ブラウザ SSO」であり、HTTP-POST バインディングを使用します。証明書には公開鍵が含まれています。検証には秘密鍵が必要ですか?ソースを信頼するには、デジタル署名の検証だけで十分ですか?プロファイルの検証または何か他のことを行う必要がありますか? 以下は、IDP から受信する SAML 応答です。さらに情報が必要な場合はお知らせください。十分な情報を提供できなかったら申し訳ありません。助けてください...

組織が内部の Active Directory (AD) を外部のクラウド製品と統合できるようにしたいと考えています。

クライアントには ADFS を使用するフェデレーション サーバーがあり、このレベルで複数のクライアントと連携するには、独自の ADFS サービスが必要であることを理解しています。これは、SCIM を代替として使用できるということですか?

共通の Shibboleth SP を単一の場所 (ミドルウェアのように) で構成し、異なるサーバーの異なるドメインに存在するすべてのアプリケーションがそれを sso 認証に使用できるようにすることは可能ですか?また、すべてのアプリケーションは共通の SP を介して相互に通信できます。この設計に問題はありますか?

Wss4jSecurityInterceptorWeb サービスを署名で保護するために、spring-ws-security を使用したいと考えています。しかし、このシステムを動作不能にする依存関係の競合があります。spring-ws-security:2.1.2.RELEASEも動作しないようです。

この問題を解決する方法はありますか?

よろしくお願いします。