Поиск обратной связи по первой реализации SAML

Ответ 1

Вам не нужен Тема в запросе - глядя на спецификации, я думаю, что это может быть так просто:

<?xml version="1.0" encoding="UTF-8"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
  ID="abc" Version="2.0" IssueInstant="1970-01-01T00:00:00.000Z"
</samlp:AuthnRequest>

Опуская все необязательные элементы и атрибуты (Эмитент, NameIDPolicy, AssertionConsumerServiceURL и т.д.), означает, что поставщик удостоверения личности и поставщик услуг согласовали их спереди, поэтому их не нужно указывать в AuthnRequest. Если вы контролируете оба конца, и вы абсолютно знаете, что вы никогда не добавите в микс другого провайдера, это совершенно законный запрос SAML. Это означает "Аутентифицировать пользователя, который представляет это через механизм, который мы согласовали".

Глядя на ответ, я думаю, что это минимальный случай:

<?xml version="1.0" encoding="UTF-8"?>
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
  ID="123" InResponseTo="abc" IssueInstant="2008-11-21T17:13:42.872Z" 
  Version="2.0">
    <samlp:Status>
        <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
    </samlp:Status>
    <saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Version="2.0">
        <saml:Subject>
            <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">
                [email protected]
            </saml:NameID>
        </saml:Subject>
        <saml:AuthnStatement AuthnInstant="2008-11-21T17:13:42.899Z">
            <saml:AuthnContext>
                <saml:AuthnContextClassRef>
                    urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
                </saml:AuthnContextClassRef>
            </saml:AuthnContext>
        </saml:AuthnStatement>
    </saml:Assertion>
</samlp:Response>

Вы можете отправить адрес электронной почты пользователя в качестве идентификатора NameID, и AuthnStatement просто несет в себе тот факт, что поставщик удостоверения подлинности аутентифицировал пользователя в данный момент данным механизмом. Опять же, это удаляется в кости - мы опускаем атрибуты и элементы, такие как Destination и SubjectConfirmationMethod, поскольку они являются излишними для использования.

Итак, в этом ответе говорится: "Это [email protected], он вошел в систему с паролем через защищенный транспорт (SSL/TLS) в 17:13:42 от 11/21/2008".

Вы должны взглянуть на спецификацию профилей SAML 2.0 для точного механизма прохождения этих функций взад и вперед. AuthnRequest обычно сжимается, кодируется и передается в качестве параметра URL в GET, а самый простой способ вернуть ответ - через привязку POST - возвращает HTML-страницу с формой, целью которой является поставщик услуг и которая отправляется на время загрузки страницы через некоторый JavaScript.

Ответ 2

• Да, это похоже на взаимодействие SAML

• Теперь ваш ответ аутентификации довольно прост. Обычно вы хотите добавить больше атрибутов в свои утверждения. И ради безопасности, по крайней мере, ответ должен быть подписан.

• Он используется для установки после. В вашем случае у вас его нет, поэтому после состояния должно быть хорошо...

Я бы порекомендовал вам создать учетную запись в http://www.ssocircle.com и с одним профилировщиком HTTP-заголовков (то есть классическим и большим LiveHttpHeaders) и отладчик SAML2 (отладчик Feide Rn SAML2 спасибо, ребята!) взгляните на поток запроса/ответа..

Надеюсь, что это поможет,

Луис

ps: если вы хотите взглянуть на полную реализацию SP/IdP: http://sourceforge.net/projects/spring-saml/files%2F0.1/