SAML IDP 发起的 SSO 事务答案

【问题标题】：SAML IDP initiated SSO transactionSAML IDP 发起的 SSO 事务
【发布时间】：2022-01-23 23:00:13
【问题描述】：

Webapp #1 有一个指向 webapp #2 的按钮。当我们的用户单击该按钮时，他们应该被重定向到 webapp #2，并自动登录。

集成是 SAML，因此 webapp #1（IDP）向 webapp #2（SP）发送一个 SAML“请求”，它返回一个重定向 URL，webapp #1 重定向到它。

SP 给了我一个指向 HTTP POST 的 URL，一个通过“email”属性识别用户的断言，所以我制作了这个：

<saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" IssueInstant="2021-12-22T16:59:43.999Z" Version="2.0"><saml2:Issuer>http://www.whatever.com</saml2:Issuer><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:SignedInfo><ds:CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments"></ds:CanonicalizationMethod><ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"></ds:SignatureMethod><ds:Reference URI=""><ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"></ds:Transform><ds:Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments"></ds:Transform></ds:Transforms><ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"></ds:DigestMethod><ds:DigestValue>...</ds:DigestValue></ds:Reference></ds:SignedInfo><ds:SignatureValue>...</ds:SignatureValue><ds:KeyInfo><ds:X509Data><ds:X509Certificate>...</ds:X509Certificate></ds:X509Data></ds:KeyInfo></ds:Signature><saml2:Conditions><saml2:OneTimeUse></saml2:OneTimeUse></saml2:Conditions><saml2:AuthnStatement AuthnInstant="2021-12-22T16:59:44.053Z" SessionIndex="cfb8f9b5-9616-47db-bc92-7588ce18cf62" SessionNotOnOrAfter="2021-12-22T16:59:44.068Z"><saml2:AuthnContext></saml2:AuthnContext></saml2:AuthnStatement><saml2:AttributeStatement><saml2:Attribute Name="email"><saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">si@captisintel.com</saml2:AttributeValue></saml2:Attribute></saml2:AttributeStatement></saml2:Assertion>

SP 以 302 和如下所示的 Location 标头响应：

Location: ?SAMLRequest=nVNNj9owEP0rke%2FkS4VtLc...

解码：

<?xml version="1.0"?><samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="_f848f04c71671a745722" Version="2.0" IssueInstant="2021-12-22T18:36:19.337Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" AssertionConsumerServiceURL="http://auth.whatever2.com/saml/callback" Destination=""><saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">whatever2</saml:Issuer><samlp:NameIDPolicy xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" AllowCreate="true"/><samlp:RequestedAuthnContext xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Comparison="exact"><saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef></samlp:RequestedAuthnContext></samlp:AuthnRequest>

当我访问该 URL 时，我会看到登录页面。所以这是行不通的。

我对 SP 日志的可见性为 0，以了解问题所在。我能猜到的是我没有正确发布这个。那么这看起来对吗，还是我应该以不同的方式发布？我尝试将断言按原样发布在正文中，将其包装在“

另一个线索是 SP 总是返回 302，无论我发送什么。即使我发送“BLAHBLAH”而不是实际的 SAML 负载，它们仍然会以 302 响应。

有什么建议吗？

【问题讨论】：

标签： saml idp

【解决方案1】：

在 IdP 发起的流程中，IdP 像您一样在 POST 中发送包含断言的 SAML 响应。如果一切顺利，SP 现在应该认为用户已通过身份验证。

SAML 响应应该在名为 SAMLResponse 的输入控件中发送，并且应该是 Base64 编码的。

<input type="hidden" name="SAMLResponse" value="<Base64 encoded SAML Response>"/>

我猜想会发生什么，由于某种原因，SP 不接受您的 SAMLResponse，而是通过向 IdP 发送 SAML 请求以对用户进行身份验证来启动正常的 SP 发起的 SAML 流。

您的回复不被接受的原因可能有很多。如果没有 SP 日志，我们几乎可以猜测。

我看到你的断言缺少一个强制的不记名主题确认。

来自SAML Profiles spec4.1.4.2

使用此配置文件为消费而发出的任何断言都必须包含一个带有 at 的元素至少一个包含方法的元素瓮：绿洲：名称：tc：SAML：2.0：cm：承载者。这种断言称为不记名断言。 Bearer assertions 可以包含额外的元素。同一章节对断言也有更多要求

不过还有一些其他的想法：

您应该在 SAML 响应中包含您的断言，但是需要设置几个样板元素。所以确保它是有效的
经常看到响应消息本身必须签名，而不仅仅是断言。

我建议查看 SAML 配置文件规范 4.1.4.2 以了解断言和响应必须包含的内容。

另外，请尝试 agian 看看您是否可以从 SP 那里获得任何关于错误的反馈，以避免盲目尝试和失败而使您头疼。

SAML 并不是目前最直接的协议，要使其正常工作并确保其安全，还有很多工作要做。正如我总是试图对刚开始使用它的人说的那样：不要自己构建它，有很多很好的开源替代方案可以用于执行 SAML，这将使您的系统更加安全和可维护。

如果您想更好地了解 SAML 以及如何实现它，我可以推荐我的书，SAML 2.0: Designing secure identity federation

祝你好运！

【讨论】：

非常非常有用——感谢您的回答和本书！你能推荐一个可以做到这一切的Java库吗？到目前为止，我在我的 POC 中使用了 opensaml 和 onelogin，它们看起来不错，但我没有看到任何关于 Bearer 业务的明显内容......
我不建议将 OpenSAML 用于标准集成，因为 OpenSAML 适合定制的东西。因为那是更好的去追求更高的水平。我认为 onelogin 工具包会很好地完成这项工作。我在这里也有关于带有 saml 支持的 spring 安全性的好东西。
关于承载，这是我的一个旧博客，显示了一个有效的断言。 blog.samlsecurity.com/2015/07/what-is-saml-assertion.html。您可以看到主题元素包含带有方法承载的主题确认。这是强制性的，并且可能是您的断言不被接受的原因之一。如果您认为这回答了您的问题，请将其标记为正确。
我添加了 Bearer，但没有成功。我接受了这个答案，因为它对找到解决方案最有帮助。如果您（或您推荐的任何人）愿意亲自尝试（您想要的任何客户端技术），请 LMK，即使我们从 SP 获得的帮助为零。我的电子邮件：我在 gmail dot com 的用户名。否则感谢您的帮助！
好的，是的，这只是可能出错的一件事。我现在很难按时完成项目，但正如我在书中提到的那样，开始与samltest.id 进行简单的集成，以查看您从 SP 中获得的东西。我看到我之前把事情搞混了。 Spring SAML 和 onelogin 工具包仅用于设置 SP 而不是 IdP。我对 IdP 的工具包不确定。我会看看，但也许尝试发布一个新问题

【解决方案2】：

您应该向 SP 发送包含 SAML 断言的 SAML 响应，而不仅仅是 SAML 断言。您还需要确保按照 SAML v2.0 绑定规范正确编码。

您确实需要 SP 来协助调试。希望他们的日志能够详细说明他们拒绝您的 HTTP Post 的原因。

【讨论】：