使用SAML和身份提供程序(IdP)很困难

本文关键字:IdP 程序 SAML 身份 使用 | 更新日期: 2023-09-27 18:08:09

我不知道该如何表述这个问题,因为我不知道问题到底是什么。

存在第三方公司作为SSO结构的SP。

他们几乎没有关于如何设置IdP使SSO与他们一起工作的文档,我以前从未做过这样的事情。

我设置了一个证书,用于生成SAML的数字签名,并将相同的密钥上传到该公司的网站,以便他们能够理解我的IdP的响应。

当我向他们发送SAML响应时,我得到一个通用错误,说SSO响应无效。查看他们的文档,这个错误的描述是:

我们无法验证SAML反应。这可能是由于无效的数字签名造成的,可能是由于IdP和SP之间的公钥/私钥不匹配造成的。也可能是由于响应中指定的无效观众或无效时间窗口(NotBefore和NotOnOrAfter)造成的。

我更关心的是"无效的数字签名",因为看着我发送的SAML响应,观众是他们需要的,时间窗口是好的,我确信我使用相同的密钥来生成SAML,也为我发送给他们的那个。

我可能对很多事情都错了,但我的问题是,我如何确保我的数字签名是有效的,格式和形式是正确的?

如果你是一个SAML专家,看看我的SAML看起来是否合理:

Tried to post SAML here, didn't work, but if you think that looking at it would be useful let me know.

我使用WIF来生成SAML,我想知道摘要和签名算法是否会影响这个错误。

好吧,欢迎任何帮助和想法!

使用SAML和身份提供程序(IdP)很困难

您不应该使用SP的公钥来加密发送给SP的信息吗?