我遇到了验证SAML响应的问题,其中包含摘要不匹配。尝试使用证书的摘要值进行检查,并显示不同的值。我认为证书或SAML响应存在问题,但我也想知道在SP级别进行身份验证是否也引起关注,因为客户端不希望对IDP做出响应,相反到SAML的标准设置是什么。我意识到由于明显的安全问题,不应该有这种设置,但这是他们要求的设置......
答案 0 :(得分:0)
如果SAML断言没有正确签名,这是一个安全问题,您不应该相信它。通过信任它而不验证摘要,您可以将自己打开给任何向您的ACS URL提交SAML并进行身份验证的人。