問題タブ [saml]

SOAPメッセージヘッダーに含まれているSAMLトークンを逆シリアル化するDispatchMessageInspectorがあります。

デシリアライズを行うために、次のコードのバリエーションを使用しています。

私が見ている問題は、ReadToken呼び出しのパフォーマンスが、Windowsサービス（WCFサービスがホストされている）を実行しているアカウントによって異なることです。

サービスがWindowsドメインアカウントとして実行されている場合、ReadToken呼び出しの経過時間は実質的にゼロです。ローカルマシンアカウントとして実行している場合、呼び出しには200〜1000ミリ秒かかります。

誰かがここで何が起こっているのか、そしてなぜこのコードを実行しているアカウントがそのパフォーマンスに違いをもたらすのかを明らかにすることができますか？

ありがとう、

マーティン

ADFS 2.0 環境を学習しようとしているときに、Visual Studio 2010 を使用して RP となる空の ASP.NET クレーム対応アプリケーションを作成しました。

ADFS 2.0 を使用して、次のことを行いました。

1. 「証明書利用者信頼の追加...」ウィザードを使用して SAML 2.0 証明書利用者を作成しました
2. 「クレーム プロバイダー信頼の追加...」ウィザードを使用して、SAML 2.0 クレーム プロバイダーを作成しました。

今、私は次の手順を実行しました：

• ブラウザーがhttp://localhost/adfs/IdpInitiatedSignOn.aspxを指すようにしました
• 手順 1 で定義した RP をコンボ ボックスからサインインするサイトとして選択しました。
• 次のページで、手順 2 で定義した IDP をコンボ ボックスから認証サイトとして選択します。
• [サインインを続ける] をクリックしました

ADFS 2.0 は、IDP 用に構成された URL にリダイレクトし、SAMLRequest が要求に添付されます。（これは素晴らしい）

ただし、IDP に到着した SAML リクエストには ACS URL が含まれていません (より技術的には、「AssertionConsumerServiceURL」の XML ノードはありません)。

ACS URL は SAML リクエストの必須属性ではありませんか?

ありがとう ！ヨアシュ

サービス プロバイダー サイトで OpenSAML を使用して、クライアントに SSO を提供しています。私たちのクライアント (ID プロバイダー) は、最後に OpenSSO を使用しています。OpenSSO によってポストされる SAML 応答は、名前空間によって修飾されていない署名要素に関しては少し異なります。これは OpenSAML ではうまくいかないようで samlResponse.getSignature()、署名を検証できないため、メソッドから null が返されます。

問題を引き起こしている SamlReponse の署名スニペット

機能する別の SAML レスポンスからの署名スニペット

上記からわかるように、OpenSSO サーバーからの署名スニペットには、SAML バインディング仕様で指定されている名前空間修飾子が含まれていません。

私にとっての最後のオプションは、OpenSAML ライブラリを機能させるために署名要素の前に名前空間を追加するために投稿された SAMLResponse のいくつかのマッサージを行うことです。

OpenSAML ライブラリを使用してこれを解決する方法についてのアイデアは高く評価されています。

よろしくお願いします CJ

私がサポートしようとしているシナリオは次のとおりです。クライアントの Web サイトが、サイトからのシングル サインオンを使用して私の Web サイトにリダイレクトしています。クライアント側には、私の Web サイトに渡される認証済みユーザーの SAML トークンを生成する STS があります。私の質問は、私のウェブサイトに渡されたこの SAML トークンを検証する最も簡単で最良の方法は何ですか? 側で STS サービスを必要とせずにこれを達成できることを願っています。.NET テクノロジを使用する可能性があります。どんな種類の助けや指示も本当に感謝しています。ありがとう。

署名方法はですHMAC-SHA1、そして私はすでに<SignedInfo>生成しました。問題は、HMAC計算でキーとして何を使用すればよいかわからないことです。

最初のリクエスト（RST）とレスポンス（RSTR）から<Entropy>囲んでいるものが2つあることに気づきました。WS-Trustから読んだところによると、これは、応答のタグで指定されているように、および<BinarySecret>からこれら2つのバイナリ値を使用して証明キーを生成できることを示しています。ただし、サンプルの署名値と同じ署名値をサービスプロバイダーから取得することはできませんでした。<BinarySecret>PSHA1<ComputeKey>

どんな情報でも役に立ちます！

例として：

• RSTからのバイナリシークレットは grrlUUfhuNwlvQzQ4bV6TT3wA8ieZPltIf4+H7nIvCE=
• RSTRからのバイナリシークレットは YLABh3ZmZyiO5gvVLZe9J4JPd9w59KGeTFwE85XlzxE=
• 正しい署名値は nXJEN8p1nupMA/00TK03VZlADkU=
• 私が生成する署名値は bEGpeRFsznafFRf86g281zKV3Ro=
• SignInfoの内容は以下の通りです

ASP.NETでSAMLv2.0用のSP（サービスプロバイダー）を作成するという任務を負っていますが、次のように思います。

ユーザーがサービスのメインSPにログインし（以前にブックマークされていない限り、ユーザーがアンカー/リンクとしてSPにアクセスできるようになる場合）、SPへのアクセスを要求した場合、ログインをどのように処理する必要がありますか？

彼らはログインし、メインSPのIdPによって承認されますが、そのSPはユーザーがログインしていることをSPにどのように通知しますか？ユーザーがログインしているかどうかを判断するために、新しい認証リクエストをIdPに送信する必要がありますか、それともSPからのクエリ文字列を使用してポストデータ/リダイレクトとして渡す必要がありますか？

技術的な概要と基本を読みましたが、この部分については説明していません。

メインのSPに連絡して、進め方を尋ねますが、最初に拠点をカバーして、この状況に対処するための標準的な方法があるかどうかを確認したいと思いました。

Axie2 Webサービスを使用してSAMLを使用してIdpに対して認証（SSO）する方法はありますか？

C# で Java によって生成された SAML 応答の検証に関するさまざまな投稿を見ていました。私はすべての提案を試してきましたが、まだ から False を得ておりSignedXml.CheckSignature、何が間違っている可能性があるのか​​ について完全にアイデアがありません.

応答の署名ノードは次のとおりです。

そして、応答を検証するために使用しているC#コードは

コードに証明書をロードして署名を検証しようとしても、同じ問題が発生しました。

署名が検証されない理由について何か提案はありますか?

現在、SAAS 製品に SAML2 SP lite プロファイルを実装しており、実装を認定する方法を探しています。

私はすでにいくつかの調査を行い、カンタラ イニシアチブ ( http://kantarainitiative.org/wordpress/programs/iop-certification/ ) について学びました。相互運用性イベントに関するフィードバックはありますか?

私もhttp://www.pingidentity.com/にたどり着き、「ping認定」プログラムについてフィードバックがある人がいるのだろうかと思っていました。

これらのシステムに関する私の知識はそれほど多くないため、ばかげた質問をしている場合はご容赦ください。

私は次のことを達成したいと考えています。

Idp (AD FS 2.0) -> SAML 2.0 -> Sp (simpleSAMLphp)

*単純にユーザーを認証する以上の凝ったものは必要ありません。

ID プロバイダーとして AD FS 2.0 (ドメイン A) を使用して Windows Server 2008 を構成し、別のドメイン (simpleSAMLphp (ドメイン B) を使用して作成) のサービス プロバイダーからの認証要求を処理させようとしました。

AD FS 2.0 管理アプリケーションを使用すると、SP から未加工のメタ XML を追加して、idp を構成できます。そして私のSPには同じことをする機能があります。したがって、idp（AD FS 2.0）を正しくセットアップすると、SPにidpのメタデータを解釈させるだけで済みます。

現在、私は解決策に近づいていると感じています（しかし、おそらく間違っているでしょう！）。現在、Idp がログイン資格情報を要求する時点まですべてが見つかっているようで、資格情報を入力すると、セッションが開始されたように見えますが、「承認されていません - HTTP エラー 401 が表示されます。要求されたリソースには要求されたリソースが必要です」ユーザ認証。' 正しいログイン資格情報を入力した後のメッセージ。

誰かがこれを修正する方法を説明してもらえますか? または、単純にユーザー名とパスワードを認証するために SAML 2.0 を使用して AD FS 2.0 を認証するように段階的にセットアップする方が速い場合。

ヒントを事前にありがとう！