OpenSAML как проверить, действительно ли ответ SAML (подпись/сертификат) на моем IDP?

Question

Привет У меня есть этот XML как SAML2 ответ от моего IDP:

<Assertion ID="_97031c65-0139-4047-a416-9495df5d6ed7" 
    IssueInstant="2016-10-26T07:45:43.438Z" Version="2.0" 
    xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> 
    <Issuer> 
    </Issuer> 
    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> 
     <ds:SignedInfo> 
      <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> 
      <ds:SignatureMethod 
       Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" /> 
      <ds:Reference URI="#_97031c65-0139-4047-a416-9495df5d6ed7"> 
       <ds:Transforms> 
        <ds:Transform 
         Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /> 
        <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> 
       </ds:Transforms> 
       <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" /> 
       <ds:DigestValue> 
        KMaF... 
       </ds:DigestValue> 
      </ds:Reference> 
     </ds:SignedInfo> 
     <ds:SignatureValue> 
      FHdZ.... 
     </ds:SignatureValue> 
     <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#"> 
      <X509Data> 
       <X509Certificate> 
        MII.... 
       </X509Certificate> 
      </X509Data> 
     </KeyInfo> 
    </ds:Signature> 
    .... 

Теперь я хочу, чтобы проверить, является ли ответ правильным ответом от моего IDP. Как это может быть сделано? (Я использую OpenSAML 3.x java) Достаточно ли просто провести сравнение строк с подписью и сертификатом?

У меня также есть MetadataDocument.XML с данными учетных данных из моего IDP (Azure).

Похожие:
SAML 2.0 - How to verify the sender certificate?

OpenSAML (2.0) Signature validation not working

Answer 1

Первые вещи сначала:

Не свернуть свою собственную реализацию SAML. Есть слишком много вещей, вы можете ошибаться, что это не стоит риска. Я не знаю, могу ли я это подчеркнуть. Используйте открытый источник, хорошо известны и испытаны реализации как Shibboleth SP или simplesamlphp

Предупреждение выше в сторону, и если вы делаете это для вашего собственного понимания, а не как часть продукта/услуги, которые будут доступны для всех, кроме вас:

Способ проверки того, что ответ приходит от вашего IDP, заключается в проверке цифровой подписи. Для этого вы должны использовать открытый ключ IDP (который содержится в сертификате IDP, который вы знаете из метаданных IDP), чтобы проверить цифровую подпись. Пожалуйста, прочитайте о Digital Signatures, Digital Signature verification, чтобы понять, что нужно делать и почему. Затем вы можете продолжить, как это сделать, прочитав Official Documetnation. Некоторые примечания:

• Не доверяйте сертификат, который поставляется с SAML утверждения. Это только для случая, когда вы знаете несколько сертификатов для данной доверяющей стороны, и вам нужно выбрать тот, который применяется к конкретному разговору SAML.
• Вы не можете сравнивать String на Подписи. Вы не можете вычислить такую ​​же подпись, как у вас нет личного ключа, который IdP использовал для его создания.