SAML 响应和断言是否已签名/未签名？

Question

我已经成功部署并运行了 spring saml 示例。从下图的 SAML Response (IdP -> SP) 中，是否可以识别：

1. SAML 响应是签名还是未签名？
2. 断言是否加密？ （我猜它是加密的）
3. 断言是有符号还是无符号？

http://MY_ADFS_SERVER/adfs/services/trust状态> 加密方法> CN=apollo, OU=R&D, O=RM5 Software Oy, L=Helsinki, S=Uusimaa, C=FI2343092425数据> Mpz3raT40LBmwUfzz+a52+ryijTMqVqtnk8T2YOJ27Xs/dS jMZHShDfMGsD1wwXb2a2jGjpjCLgLWsZ1t8LWgxevSbmTZuGGSfAMhfdOwmJMijRYdKrHdiyn+syFUof 0MDMykI135ulCL9MGWVUvR1pNz+W+tZzQKcQ+is6USH4OGnUKiMSaow==密码数据> 加密密钥> iefcMnnYFLtb EObkQpItoZk4tRuMDX9dqt1DucK91ZZRigHeQ2DuUYe2FZpGtQ2vFVtS2ycXSnVR2V4wx4Vd2VeR/G3I GHkqQ9GtOxv8RvkRtEbJTptmjoMT1t7ZNE4tn+hDmzMMK7Xy9f+xkk/z5IHvNKlscnsG/wXoRuMykKnJ tODd0ILiVF/ygQqY477lxVFDlaa4H​​H/rcx+DZOcDFiFjiuLj41dF1rdG90XCmWvr2BfUTzYl3SHakoyK AmmgesyCJQcHN54ckFiO/wvLttw09wdvC4sg92xlhhfGtQqMuvfT7YESOvHnC1FOEsf4CjoMaByZjwN2 QBRHPRJTBPjwmfVgTk+g==密码数据> 加密数据> 响应>

从我的 SP 服务器的调试日志中，在解析上述 SAML 响应之后，可以看到以下内容。这让我对消息和/或断言是否没有签名感到困惑。

- Evaluating security policy of type 'org.opensaml.ws.security.provider.BasicSecurityPolicy' for decoded message
- Evaluating simple signature rule of type: org.opensaml.saml2.binding.security.SAML2HTTPPostSimpleSignRule
- HTTP request was not signed via simple signature mechanism, skipping
- SAML protocol message was not signed, skipping XML signature processing
- Successfully decoded message.

Answer 1

1. SAML 响应未签名。
2. SAML 断言已加密。 （可以看到“EncryptedAssertion”）
3. SAML 断言未签名。

尝试在您的 SP 元数据中设置 WantAssertionsSigned="true"，与 IdP 交换并检查您是否收到签名的 SAML 响应。

参考：http://docs.spring.io/spring-security-saml/docs/current/reference/html/configuration-metadata.html