使用OpenSAML和&amp ;;签名验证问题OpenSSO的

时间:2010-10-02 00:50:17

标签: xml signature saml opensso xml-signature

我们在服务提供商网站上使用OpenSAML为我们的客户提供SSO。我们的客户(ID提供商)正在使用OpenSSO。 OpenSSO发布的SAML响应在签名元素方面略有不同,因为它不受命名空间限定。这似乎与OpenSAML没有很好的结合,它从中返回null samlResponse.getSignature()方法,由于我无法验证签名。

导致问题的SamlReponse的签名片段

<Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <SignedInfo>
        <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
        <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <Reference URI="#s2d10cccbd58d1f78c2c76c74c82a236548c929ffd">
            <Transforms>
                <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
                <Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
            </Transforms>
            <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
            <DigestValue>j+KBoDOtEcyCquPTxRCXoBulStQ=</DigestValue>
        </Reference>
    </SignedInfo>
    <SignatureValue>Dv+owuZfGFymGGrw2gHA3/7GVC6mXt8JMW+tOvmtnjTRJZaDE+Nb2NCngio1Tnqu4LWnvVrry4Wk... 6QcIJi/kGc4YFMSQj/Q=</SignatureValue>
    <KeyInfo>
        <X509Data>
            <X509Certificate>MIIEhDCCA+2gAwIBAgIQXxhipi2wpPxWi7MTVfFVHDANBgkqhkiG9w0BAQUFADCBujEfMB0GA1UE... 78Q/lRQuBhHMy02lKctnwjBeEYA=</X509Certificate>
        </X509Data>
    </KeyInfo>
</Signature>

来自另一个可行的SAML响应的签名片段

<dsig:Signature xmlns="http://www.w3.org/2000/09/xmldsig#" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
    <dsig:SignedInfo>
        <dsig:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
        <dsig:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <dsig:Reference URI="#id-TtLltjcBSOAJ6OipumUEj8o0Qag-">
            <dsig:Transforms>
                <dsig:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
                <dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
            </dsig:Transforms>
            <dsig:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
            <dsig:DigestValue>5c95zhA139qzMvZA2A445F3LWaU=</dsig:DigestValue>
        </dsig:Reference>
    </dsig:SignedInfo>
    <dsig:SignatureValue>JsmRFJn1CjClHs4rf0hrwKzOq6ZtmnOEm/PNiaJvYurko/ZP+PApWhk55x0unIVwZ6XDv3k8Dj81WqUl07J0Dkvzp71bccIgiGTRzoNPT71nBAXxJmZiXz51JWctg13zjxP0oQMSpWytKCrFkCkJ0So3RQl3WixYV3miK0YjJnM=</dsig:SignatureValue>
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    </ds:KeyInfo>
</dsig:Signature>

如上所示,OpenSSO服务器的签名片段不包含SAML Bindings规范中指定的命名空间限定符。

对我来说,最后一个选项是对发布的SAMLResponse进行一些按摩,以便将命名空间添加到签名元素中,以使OpenSAML库工作。

有关如何使用OpenSAML库解决此问题的任何想法都受到高度赞赏。

提前致谢 CJ

2 个答案:

答案 0 :(得分:0)

您可以执行一些DOM操作来修复XML。例如,这里是我必须编写的一些代码,用于修复来自客户端的SAML Response XML中的一些命名空间属性(实际上,命名空间是在Response元素中定义的,但需要提取Assertion并且需要保留命名空间)。 p> 

Element assertionElem = assertion.getDOM();

if (!assertionElem.hasAttribute("xmlns:saml")) {
   assertionElem.setAttribute("xmlns:saml", "urn:oasis:names:tc:SAML:2.0:assertion");
}

if (!assertionElem.hasAttribute("xmlns:ds")) {
   assertionElem.setAttribute("xmlns:ds", "http://www.w3.org/2000/09/xmldsig#");
}

String assertionXml = Serializer.serializeXml(assertionElem, true, true);

您可以将xmlns =“http://www.w3.org/2000/09/xmldsig#”属性添加到Signature,然后setDOM()进行更新。问题是,samlResponse.getSignature().getDOM()是否会为您提供XML,或者您是否必须获取整个响应的DOM并从中提取Signature元素。

当然,实际上,客户端不应该向您发送不正确的命名空间XML,但我们知道这是怎么回事。

答案 1 :(得分:0)

我们正在使用ComponentSpace SAML 2.0 library并与使用ADFS作为其身份提供商的客户遇到类似问题。由他们的ADFS服务器生成的XML元素没有像您的第一个示例那样单独限定,我最初认为这是问题。

原来它是有效的XML而不是问题。在我们的例子中,ComponentSpace库有不同的方法来处理签名的断言和非签名的断言。一旦我们切换到检查已签名的断言,它就有效了。

OpenSAML库应该能够处理非限定的XML元素。您可能希望将此问题报告给库维护人员。

相关问题
最新问题