使用SAML和身份提供程序(IdP)很困难
本文关键字:IdP 程序 SAML 身份 使用 | 更新日期: 2023-09-27 18:08:09
我不知道该如何表述这个问题,因为我不知道问题到底是什么。
存在第三方公司作为SSO结构的SP。
他们几乎没有关于如何设置IdP使SSO与他们一起工作的文档,我以前从未做过这样的事情。
我设置了一个证书,用于生成SAML的数字签名,并将相同的密钥上传到该公司的网站,以便他们能够理解我的IdP的响应。
当我向他们发送SAML响应时,我得到一个通用错误,说SSO响应无效。查看他们的文档,这个错误的描述是:
我们无法验证SAML反应。这可能是由于无效的数字签名造成的,可能是由于IdP和SP之间的公钥/私钥不匹配造成的。也可能是由于响应中指定的无效观众或无效时间窗口(NotBefore和NotOnOrAfter)造成的。
我更关心的是"无效的数字签名",因为看着我发送的SAML响应,观众是他们需要的,时间窗口是好的,我确信我使用相同的密钥来生成SAML,也为我发送给他们的那个。
我可能对很多事情都错了,但我的问题是,我如何确保我的数字签名是有效的,格式和形式是正确的?
如果你是一个SAML专家,看看我的SAML看起来是否合理:
Tried to post SAML here, didn't work, but if you think that looking at it would be useful let me know.
我使用WIF来生成SAML,我想知道摘要和签名算法是否会影响这个错误。
好吧,欢迎任何帮助和想法!
您不应该使用SP的公钥来加密发送给SP的信息吗?