我们在OpenAM配置中将“已签名声明”标记为
,如果来自IDP的SAML响应已签名,而SAML断言未签名, OpenAM会将此SAML响应视为有效的SAMLResponse吗?
注意:openam版本13.0.0
答案 0 :(得分:0)
如果来自IDP的SAML响应已签名,而SAML断言未签名,OpenAM会将此SAML响应视为有效的SAMLResponse吗?
否,因为SAML响应签名与断言签名不同。
旁注:可以通过SAML元数据中的属性协商断言签名。 SAML响应签名必须带外协商,因为SAML元数据规范尚未为其定义属性。
答案 1 :(得分:0)
自从实现OPENAM-7055以来,AM就会将签名的SAML响应视为断言本身已签名。 JIRA问题的修复版本设置为13.0.0,因此此行为在该版本中应该已经正确。