Single sign on 在单一sigin on(SSO)的SAMLR响应中要验证哪些项目?
我将通过SAML2.0实现SSO功能。Single sign on 在单一sigin on(SSO)的SAMLR响应中要验证哪些项目?,single-sign-on,saml,Single Sign On,Saml,我将通过SAML2.0实现SSO功能。 我正在搜索SAMLResponse的响应和断言中要验证的项目。 但是没有明确的答案和建议。 我刚刚阅读了4.1.4.3消息处理规则,但不确定它们是哪些项。 提前感谢。您可以使用带有签名断言的SAML响应来查看典型响应中的内容 如果您希望有人使用SAML登录到您的应用程序,您的应用程序首先必须确认用户就是他们声称的用户。它通过验证响应上的签名信息来做到这一点。它使用IdP的公钥来做到这一点。您的应用程序就是SP,应该知道如何找到IdP的公钥,从其SAML元
我正在搜索SAMLResponse的响应和断言中要验证的项目。
但是没有明确的答案和建议。
我刚刚阅读了4.1.4.3消息处理规则,但不确定它们是哪些项。
提前感谢。您可以使用带有签名断言的
SAML响应来查看典型响应中的内容
如果您希望有人使用SAML
登录到您的应用程序,您的应用程序首先必须确认用户就是他们声称的用户。它通过验证响应上的签名信息
来做到这一点。它使用IdP的公钥来做到这一点。您的应用程序就是SP,应该知道如何找到IdP的公钥,从其SAML
元数据。您可以使用Issuer
获取IdP的entityID
。然后,在AudienceRestriction
中,确保响应是针对您的应用程序的
一旦基本验证通过,您就可以使用AttributeStatement
为用户创建帐户。您需要的属性就在那里
因此,这基本上是一个由两部分组成的过程。在第一部分中,您要确保响应是有效的,来自预期的IdP,并且是针对您的应用程序的
第二部分是使用属性
s管理应用程序中用户的帐户
对于属性
值,有各种改进,例如NotBefore
和notnorafter
,但这些都是基本步骤。签名?否。然后是受众限制、有效性等。如果您是这里的初学者,依赖外部组件为您执行此操作会安全得多。否则您可能会出现错误实施一些会使您的站点易受攻击的细节。