Question

我们需要实施基于SAML的安全身份验证。我们的IDP将是Okta和OneLogin。为此，我们在node.js express app中使用“passport”+“passport-saml”。我们在SP侧为Okta使用以下策略配置 -

var oktaLoginStrategy = {
    host: 'http://localhost:3000',
    path: '/login/callback',
    realm: 'urn:node:app',
    entryPoint: "https://dev-528399.oktapreview.com/app/builtiodev528399_oktasp1_1/exkbbi8vwj2OsHjbE0h7/sso/saml",
    issuer: "http://www.okta.com/exkbbi8vwj2OsHjbE0h7",
    additionalParams: {
        'RelayState': "test"
    },
    signatureAlgorithm: 'sha256',
    decryptionPvk: privateKey,
    privateCert: privateKey,
    cert: oktaPublicKey,
    identifierFormat: 'urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress'
};

我们使用的是OneLogin -

var oneLoginStrategy = {
    host: 'http://localhost:3000',
    path: '/login/callback',
    realm: 'urn:node:app',
    entryPoint: "https://flow-dev.onelogin.com/trust/saml2/http-post/sso/686218",
    issuer: "https://app.onelogin.com/saml/metadata/686218",
    additionalParams: {
        'RelayState': "test"
    },
    signatureAlgorithm: 'sha256',
    decryptionPvk: privateKey,
    privateCert: privateKey,
    cert: oneLoginPublicKey,
    validateInResponseTo: true,
    identifierFormat: 'urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress'
};

但对于Okta，它给出的错误是“无法读取未定义的属性'getAttribute'”，对于OneLogin，它将错误称为“无效签名”。此外，我们调试到模块中，发现对于Okta，它在查找算法时会中断，而对于OneLogin，它能够解密'CipherData'，但在验证签名时会中断。

我们的私钥格式为 -

-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----

请帮助我们。

Answer 1

这里的问题来自Okta SAML断言格式，我们对xml-encryption模块的“decryptKeyInfo”函数进行了更改，该函数在passport-saml下用于从断言中查找“keyEncryptionMethod”。关于OneLogin这是我们的设置问题。

passport-saml问题，用于解码和验证签名的SAML响应

1 个答案: