SAML 响应的签名验证失败

Question

我已经为 ADFS 配置了 Identity Server。我有一个来自 ADFS 的签名证书，它被导入到 Identity Server 中。我还适当地更改了 IdpAlias 属性。但是，在使用 travelocity.com 应用程序时出现以下错误。

严重：发生错误 org.wso2.carbon.identity.sso.agent.exception.SSOAgentException：SAML 响应的签名验证失败 在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.validateSignature(SAML2SSOManager.java:483) 在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.processSSOResponse(SAML2SSOManager.java:227) 在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.processResponse(SAML2SSOManager.java:145) 在 org.wso2.carbon.identity.sso.agent.SSOAgentFilter.doFilter(SSOAgentFilter.java:89) 在 org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:240) 在 org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207) 在 org.apache.catalina.core.StandardWrapperValve.invoke（StandardWrapperValve.java:212） 在 org.apache.catalina.core.StandardContextValve.invoke（StandardContextValve.java:106） 在 org.apache.catalina.authenticator.AuthenticatorBase.invoke（AuthenticatorBase.java:502） 在 org.apache.catalina.core.StandardHostValve.invoke（StandardHostValve.java:141） 在 org.apache.catalina.valves.ErrorReportValve.invoke（ErrorReportValve.java:79） 在 org.apache.catalina.valves.AbstractAccessLogValve.invoke（AbstractAccessLogValve.java:616） 在 org.apache.catalina.core.StandardEngineValve.invoke（StandardEngineValve.java:88） 在 org.apache.catalina.connector.CoyoteAdapter.service（CoyoteAdapter.java:528） 在 org.apache.coyote.http11.AbstractHttp11Processor.process（AbstractHttp11Processor.java:1099） 在 org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:670) 在 org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1520) 在 org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1476) 在 java.util.concurrent.ThreadPoolExecutor.runWorker（未知来源） 在 java.util.concurrent.ThreadPoolExecutor$Worker.run（未知来源） 在 org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) 在 java.lang.Thread.run(Unknown Source)

2016 年 8 月 1 日上午 11:34:39 org.apache.catalina.core.StandardWrapperValve 调用 严重：servlet [jsp] 的 Servlet.service() 在路径 [/travelocity.com] 的上下文中引发异常 [SAML 响应的签名验证失败]，根本原因 org.wso2.carbon.identity.sso.agent.exception.SSOAgentException：SAML 响应的签名验证失败 在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.validateSignature(SAML2SSOManager.java:483) 在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.processSSOResponse(SAML2SSOManager.java:227) 在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.processResponse(SAML2SSOManager.java:145) 在 org.wso2.carbon.identity.sso.agent.SSOAgentFilter.doFilter(SSOAgentFilter.java:89) 在 org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:240) 在 org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207) 在 org.apache.catalina.core.StandardWrapperValve.invoke（StandardWrapperValve.java:212） 在 org.apache.catalina.core.StandardContextValve.invoke（StandardContextValve.java:106） 在 org.apache.catalina.authenticator.AuthenticatorBase.invoke（AuthenticatorBase.java:502） 在 org.apache.catalina.core.StandardHostValve.invoke（StandardHostValve.java:141） 在 org.apache.catalina.valves.ErrorReportValve.invoke（ErrorReportValve.java:79） 在 org.apache.catalina.valves.AbstractAccessLogValve.invoke（AbstractAccessLogValve.java:616） 在 org.apache.catalina.core.StandardEngineValve.invoke（StandardEngineValve.java:88） 在 org.apache.catalina.connector.CoyoteAdapter.service（CoyoteAdapter.java:528） 在 org.apache.coyote.http11.AbstractHttp11Processor.process（AbstractHttp11Processor.java:1099） 在 org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:670) 在 org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1520) 在 org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1476) 在 java.util.concurrent.ThreadPoolExecutor.runWorker（未知来源） 在 java.util.concurrent.ThreadPoolExecutor$Worker.run（未知来源） 在 org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) 在 java.lang.Thread.run(Unknown Source)

Answer 1

原因是，ADFS 将响应发送到 Identity Server，并在其中使用其私钥对响应进行签名。然后 Identity Server 验证来自您在 IDP 配置中输入的公共证书的响应。

然后发生的事情是，Identity Server 创建它自己的 SAML 响应并发送到 travelocity 应用程序。在服务提供者配置中，如果您启用了响应签名，Identity Server 会使用其私钥对 SAML 响应进行签名。

对于 travelocity，您必须导出 Identity Server 的公共证书并将其导入到 travelocity 应用程序的密钥库 (wso2carbon.jks) 文件中。然后在 travelocity.properties 文件中，您必须更改 IDPCertAlias 属性，以提供 Identity Server 的公共证书的别名。

那么它应该可以工作。

基本上，travelocity 对 ADFS 一无所知。只有 Identity Server 知道。 travelocity 只知道身份服务器。