我不知道如何陈述这个问题,因为我不知道究竟是什么问题。
有第三方公司作为SSO结构的SP。
他们几乎没有关于设置IdP以使SSO与他们合作的文档,我以前从未做过这样的事情。
我设置了一个证书,用于为SAML生成数字签名,并将相同的密钥上传到该公司的网站,以便他们能够理解我的IdP的响应。
当我向他们发送SAML响应时,我收到一般错误,说SSO响应无效。查看他们的文档,此错误的描述是:
我们无法验证SAML响应。这可能是由无效的数字签名引起的,可能是由于IdP和SP之间不匹配的公钥/私钥。它也可能是由响应中指定的无效受众或有效时间窗口(NotBefore和NotOnOrAfter)引起的。
我更关心的是“无效的数字签名”,因为查看我发送的SAML响应,观众是他们需要的,时间窗口很好,我确定我使用相同的密钥生成SAML以及我发送的密码。
我可能错了很多东西,但我的问题是,如何确保我的数字签名有效且格式正确并形成?
如果您是SAML专家,请查看我的SAML是否合理:
Tried to post SAML here, didn't work, but if you think that looking at it would be useful let me know.
我正在使用WIF生成SAML,我想知道摘要和签名算法是否会影响此错误。
嗯,欢迎任何帮助和想法!
答案 0 :(得分:0)
您是否应该使用SP的公钥来加密发送给SP的信息?