Fatal编程技术网
  • single-sign-on/
  • Single sign on 这些saml请求响应是否足够好?

Single sign on 这些saml请求响应是否足够好?

single-sign-on

Single sign on 这些saml请求响应是否足够好?,single-sign-on,saml,Single Sign On,Saml,我已为我的服务设置了单点登录(SSO)。所有服务都使用IDPorvider(IDP)确认用户的身份。就我而言,我也是国内流离失所者 在我的saml请求中,我包括以下内容: 1.进行身份验证的级别。是必需的。 2.消费者url 3.目标服务url。 4.发行人 然后,使用SP(服务提供商)的私钥和IDP的公钥加密此消息。那么我将发送此请求。 IDP在收到请求时,首先使用自己的私钥解密,然后使用SP的公钥解密。在saml响应中: 1.目标url 2.发行人 3.响应的状态 这够好吗?请给出您的建议?

我已为我的服务设置了单点登录(SSO)。所有服务都使用IDPorvider(IDP)确认用户的身份。就我而言,我也是国内流离失所者
在我的saml请求中,我包括以下内容:
1.进行身份验证的级别。是必需的。
2.消费者url
3.目标服务url。
4.发行人

然后,使用SP(服务提供商)的私钥和IDP的公钥加密此消息。那么我将发送此请求。
IDP在收到请求时,首先使用自己的私钥解密,然后使用SP的公钥解密。在saml响应中:
1.目标url
2.发行人
3.响应的状态

这够好吗?请给出您的建议?

一般情况下是这样的。有加密,然后在SAML中唱歌。如果没有用于SAML的数字签名,您永远不希望投入生产。我想您可以出于测试目的禁用签名处理。我们在SiteMinder Federation Services(SMFSS)中对此进行了说明,仅供测试之用。所以,说到这里,你不是在说数字签名,而是在说加密

但这里有两个在我自己的非常简单的描述,虽然我听起来很傻,我解释它的方式,我希望它能帮助你。如果你已经知道了,我提前道歉。还有一件事是,这是非常基本的,但你可以得到更多关于谷歌搜索加密、解密、证书等的详细信息

实际上,这里是我用来培训新的支持人员使用SMFSS(SiteMinder Federation Services)进行联合的一个概述,最后是我在certs上写的部分。这是我写得很快的东西,看起来不是很圆滑,但它确实很快完成了工作。它是我对已经安装了SiteMinder的POC SAML 2.0 POST客户所做的工作的一种拷贝。我只是想我会给你这个,因为它有很多工具,一旦你开始使用,你可能会发现它们很有用,以防你还没有意识到它们

您将需要两个具有代理、代理OP、策略服务器、策略服务器OP的环境。需要两个代理,以便其中一个可以是IDP,另一个可以是SP

要设置代理选项包,请参阅:

第8章:联合Web服务应用程序设置并将联合Web服务部署为Web应用程序,以及配置ServletExec以使用联合Web服务

现在设置SAML2.0后期身份验证:您应该一步一步地使用以下内容。但首先请参阅关于必须匹配的设置的章节,因为它们需要匹配IDP和SP侧。下面关于IDP和SP设置的章节基本上是一步一步来的,真的,按照第14章和第16章一步来,你就可以开始了

第22章:必须使用相同值的配置设置

然后使用此设置IDP和SP:

第14章:将SiteMinder配置为SAML2.0身份提供程序

第16章:将SiteMinder配置为SAML2.0服务提供商

运行SAML2.0事务并获取它的Fiddler跟踪。取出证书并创建一个.cer文件。拉出断言并使用下面的工具在线检查XML

设置Fiddler工具并确保已启用HTTPS解密。我在这里有链接,但只要转到gllgle并键入“Fiddler工具HTTPS解密”,您就会得到它

用于查看通过从Fiddler获取的SAML事务发布或重定向的URL,通常:

当我遇到解析错误或其他错误,合作伙伴说我们的断言不好,或者如果我们有一个不好的合作伙伴断言时,我多次使用这个断言来验证XML(断言)。我喜欢先检查语法,如果可以,然后检查SAML规范,看看它们在SAML断言本身中是否有正确的值。换句话说,确保它符合SAML

提示:您可以从我们的日志或Fiddler跟踪中获取base 64编码的证书信息,然后粘贴到记事本上,并将其另存为name.cer。然后,当您打开此文件时,您可以查看客户正在使用的证书。这很有帮助,因为这样您可以查看他们是否拥有正确的证书,以及他们的根CA或中间根CA是谁。确保您获得了所有数据,包括证书信息行末尾的=或=

执行SLO或工件时,合作伙伴需要在后台通道上连接到其他合作伙伴站点上的web服务器。发生这种情况时,连接到的Web服务器将通过SSL/HTTPS提供服务。这意味着连接到该服务器的服务器必须具有根CA证书,该证书在其密钥库中签署了web服务器的证书。其原理与打开浏览器并连接到HTTPS web服务器时相同。所有浏览器都带有已导入的主要根CA证书。这一点的全部意义在于,当你在web服务器上放置证书时,它并不是真正的保护,而是让任何连接的人知道你真的是那个网站,真的是你所说的你。你有证书这一事实使你的网站成为HTTPS,你之所以相信他们是他们所说的人,是因为他们在你连接时给你证书,如果你在网站上有证书的根CA,那么这意味着你信任他们的根CA。如果你信任他们的根CA,那么你就可以连接。如果未将根CA证书导入浏览器,则无法通过SSL/HTTPS连接到该Web服务器

**加密和解密(如果从线路上读取数据包,则为确保数据包数据的安全,对数据进行加密):

加密是在IDP端完成的,您可以加密整个断言、NameID值、属性,甚至更多

在IDP端使用公钥证书(SP)进行加密?