如何使用 Spring Security SAML 扩展对 SAML 请求/响应进行签名

Question

我能够使用 Spring Security SAML 扩展让我的应用程序充当具有 IDP SSOCIRCLE 的 SP。我的客户有以下要求：

1.对断言进行签名： IDP 发送的断言已签名并且工作正常。

2。签署请求/响应： 使用 SSO Circle 生成元数据文件时。我将选项 AuthnRequestsSigned 选择为 true。我将我的 SP 元数据上传到 SSO Circle IDP。 SP 元数据具有以下值为 true：AuthnRequestsSigned 和 WantAssertionsSigned。运行应用程序时，我的请求和收到的响应都没有签名。

我在完成第二个要求时遇到问题。我是 SAML 和一般安全性的新手。我在这里错过了什么？

更新

考虑到 Vladimir 的 cmets。我将绑定更改为 HTTP-Post，所以现在我发送带有所示签名的 SAML 请求。 通过执行以下操作，我能够发送使用我的私钥（不是示例项目提供的密钥）签名的请求：

1. 使用 keygen 工具创建密钥库、CSR 和公钥证书。
2. 更新我的 SP 元数据文件中的数字签名部分以获取新证书
3. 从 IDP SSOCIRCLE 中删除旧的 SP 元数据文件并添加新的 SP 元数据文件
4. 更改 spring 配置以使 JKSKeyManager 使用我使用新别名和密码创建的新密钥库。

我现在需要做的是让 IDP(SSOCIRCLE) 将响应发送到 一种。响应已签名 湾。断言已签名

如何才能做到这一点？我需要做哪些改变来处理这个问题，鉴于 响应的签名应该不同于断言的签名。 谢谢。

Answer 1

HTTP-Redirect 绑定要求在发送消息之前删除 SAML 消息本身上存在的任何 ds:Signature 元素：

SAML 协议消息上的任何签名，包括 XML 元素本身，必须删除。请注意，如果消息的内容 包括另一个签名，例如签名的 SAML 断言，这 嵌入的签名不会被删除。但是，这样的消息的长度 编码后基本上排除了使用这种机制。因此 包含签名内容的 SAML 协议消息不应 使用这种机制进行编码。 （saml2-bindings，578-582，从 PDF 复制粘贴）

同时 HTTP 重定向绑定要求将新的数字签名附加到 GET URL 作为参数 Signature。

这意味着使用 HTTP 重定向，您无法在消息级别发送带有签名的消息，而是将签名添加到 URL。因此从 Spring SAML 发送到 IDP 的整个消息都经过签名（从 SP 发送的数据中检查）。

除了在断言中包含签名之外，没有标准方法可以强制 IDP 发送在消息级别签名的响应消息。如果您使用 SSL/TLS，则消息的真实性和不可否认性（数字签名的特征）由传输层提供。