Инициировано SAMLv2 SP: один поставщик услуг и несколько поставщиков удостоверений.

Мне нужно использовать одного поставщика услуг с несколькими поставщиками удостоверений (idps), каждый idp подключен к sp с помощью субдомена, т. е. http://subdomain1.mysite.com подключается к idp1, http://subdomain2.mysite.com подключается к idp2 и т. д., то мой URL-адрес службы поддержки утверждений выглядит следующим образом: https://mysite.com/SAML/AssertionConsumerService.aspx< /а>.

Проблема в том, что мне нужно знать, от какого idp приходит ответ в коде AssertionConsumerService.aspx, чтобы я мог загрузить правильный сертификат. Я пробовал эмитента, получателя ответа и другие средства без везения.

Кто-нибудь знает хороший способ отличить idps от ответа и/или лучших практик? Или есть стандартный способ сделать это?

Я использую http://www.componentspace.com/Products/SAMLv20.aspx.


.net saml single-sign-on
person ctb    schedule 15.12.2010    source источник

Ответы (2)


arrow_upward
1
arrow_downward

В нашей системе у нас есть сущность, представляющая клиента (мы называем ее «домен службы»), и требуем, чтобы клиент идентифицировал эту сущность по имени либо как значение элемента Issuer, либо как значение атрибута Issuer SPProvidedID. Конфигурация SAML на нашей стороне (SP) связана с этим объектом «сервисного домена», включая, например, сертификат открытого ключа для проверки их цифровой подписи.

Я бы сказал, что использование значения Issuer более уместно, чем попытка отключить поддомены.

person JST    schedule 16.12.2010

arrow_upward
2
arrow_downward

Как вы заметили, если у вас один и тот же URL-адрес ACS для всех IDP, то пункт назначения всегда будет одним и тем же в утверждении.

Каждый IDP должен (должен?) иметь своего собственного уникального эмитента, по крайней мере, если у каждого из них также есть собственный общедоступный сертификат, с которым они подписываются. По моему опыту, PingFederate и другие серверы обеспечивают загрузку правильной информации о конфигурации при проверке ответа. Не уверен, почему Эмитент не будет работать на вас и в этой ситуации.

Вы можете столкнуться с ситуациями, когда «разные» IDP из одной и той же компании могут отправлять вам ответы с одним и тем же издателем и разными сертификатами DSIG и AttributeStatements, но в большинстве случаев этого не должно происходить.

HTH Ян

person Ian    schedule 15.12.2010
comment
Привет, спасибо за ответ. Я мог бы использовать эмитента idp, то есть бит idp1 в subdomain.idp1.com, и получить сертификат на основе этого, но вроде исправление? Порекомендуете способ эмитента? Я читал, что вы можете использовать файл метаданных из idp, но я не думаю, что это связано с ответом (утверждением). Основная причина использования одного и того же URL-адреса ACS заключалась в том, что вам не нужно покупать SSL для каждого поддомена sp плюс дублированный код. - person ctb; 15.12.2010
comment
Я согласен с JST ниже. Элемент Issuer должен присутствовать в сообщении (согласно спецификации) и является частью подписанного сообщения (ответ или утверждение) IIRC. Вы должны полагаться на это. - person Ian; 17.12.2010