我在将此SAMLResponse读入SecurityToken对象时遇到问题

时间:2015-12-29 18:33:37

标签: c# asp.net .net asp.net-mvc single-sign-on

我正在运行Shibboleth SSO登录页面,当我成功验证自己时,会使用SAMLResponse字符串执行POST,该字符串包含对我的.NET MVC应用程序的base-64编码的SAML响应。我试图将其解析为SecurityToken对象,如果可能的话:

var tokenString = Encoding.UTF8.GetString(Convert.FromBase64String(base64EncodedSamlToken));
var token = System.IdentityModel.Services.FederatedAuthentication.FederationConfiguration.IdentityConfiguration.SecurityTokenHandlers.ReadToken(new XmlTextReader(new StringReader(tokenString)));

token的值始终为null,因此无法正确解析,但为什么会这样?

在令牌的XML中,我在其他XML标签和数据中看到以下响应标记:

<saml2p:Response Destination="https://blah.local/" ID="_be8cc118c528ba0407446b8cc2dca019" InResponseTo="ID-302e3473-f063-43b0-b8e4-b8f47fbbe350" IssueInstant="2015-12-29T16:19:35.603Z" Version="2.0" xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:xsd="http://www.w3.org/2001/XMLSchema"><saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">https://shibboleth.blah.local/idp/shibboleth</saml2:Issuer><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

我的印象是内置的SecurityTokenHandlers可以读取这种类型的响应。那不是这样吗?它不是很清楚,如there was an extension for WIF awhile ago to allow SP-initiated SSO,但据我所知,它不能用于生产用途;虽然,下载它的链接现在已经死了(就像你真正需要的东西一样,很像微软的所有开发门户链接)。我的主要理解是,这与SAML 2.0安全令牌的不同之处在于,这是SAML-P 2.0,其中P代表&#34;协议&#34;,并且在所有这些之后WIF仍然不完全支持SAML 2.0协议年,但确实支持SAML 2.0令牌。怎么回事?也许有人关心详细说明? 更新:事实上,正如其他人所评论的那样,即使在这些年之后,WIF仍然不支持SAML-P。

我的默认SecurityTokenHandlers集合包含以下不同的处理程序,其中任何一个似乎都不想处理此响应:

SamlSecurityTokenHandler
Saml2SecurityTokenHandler
WindowsUserNameSecurityTokenHandler
X509SecurityTokenHandler
KerberosSecurityTokenHandler
RsaSecurityTokenHandler
SessionSecurityTokenHandler
EncryptedSecurityTokenHandler

如何从此SAMLResponse中获取SecurityToken?

1 个答案:

答案 0 :(得分:2)

我找到了解决方案。一旦我将SAMLResponse作为字符串抓取,我可以反序列化它,但反序列化的方法非常细致,因为编码是一种可靠的方法,可以在构建令牌时使Saml2SecurityToken构造函数失败(肯定是一个坏蛋)。

这个想法很简单,从XML中抓取saml2:Assertion标记作为元素,并使用它来构建SecurityToken;它在我的情况下经过测试和工作,所以希望它可以帮助其他人:

var samlToken = (SecurityToken)null;
var form = await Request.ReadFormAsync(); // I am using IOwinRequest here, but if you are using something else you can probably fetch this parameter from somewhere within HttpContext.Current.Request.Form["SAMLResponse"]; or elsewhere.
if (form.Count() > 0)
{
    var samlResponses = form.GetValues("SAMLResponse");
    if (samlResponses != null && samlResponses.Count > 0)
    {
        foreach (var samlResponse in samlResponses)
        {
            try
            {
                var decodedSamlResponse = Convert.FromBase64String(samlResponse);
                var reader = XmlReader.Create(new MemoryStream(decodedSamlResponse));
                var serializer = new XmlSerializer(typeof(XmlElement));
                var samlResponseElement = (XmlElement)serializer.Deserialize(reader);
                var manager = new XmlNamespaceManager(samlResponseElement.OwnerDocument.NameTable);
                manager.AddNamespace("saml2", "urn:oasis:names:tc:SAML:2.0:assertion");
                var assertion = (XmlElement)samlResponseElement.SelectSingleNode("//saml2:Assertion", manager);
                samlToken = (Saml2SecurityToken)Options.SecurityTokenHandlers.ReadToken(XmlReader.Create(new StringReader(assertion.OuterXml)));
                break;
            }
            catch { }
        }
    }
}
相关问题
最新问题