113 votes

Dante avatar

SAML: Pourquoi le certificat dans la Signature?

Demandé el 9 de Novembre, 2009
Quand la question a-t-elle été
14886 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

- Je mettre en place l'authentification unique avec SAML pour mon site web de la société (comme la partie de confiance). Une partie essentielle du cours est la vérification de la signature. Ici est la signature d'une partie d'un échantillon SAML de notre partenaire, la société (affirmation partie):

<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
 <ds:SignedInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
  <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"/>
  <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"/>
  <ds:Reference URI="#_2152811999472b94a0e9644dbc932cc3" xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
   <ds:Transforms xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"/>
    <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
     <ec:InclusiveNamespaces PrefixList="ds saml samlp xs" xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#"/>
    </ds:Transform>
   </ds:Transforms>
   <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"/>
   <ds:DigestValue xmlns:ds="http://www.w3.org/2000/09/xmldsig#">bW1Os7+WykqRt5h0mdv9o3ZF0JI=</ds:DigestValue>
  </ds:Reference>
 </ds:SignedInfo>
 <ds:SignatureValue xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
cgrAN4T/UmobhrkkTi3miiRfbo0Z7aakSZjXuTWlZlu9jDptxPNbOFw8ZbYKZYyuW544wQqgqpnG
gr5GBWILSngURjf2N45/GDv7HMrv/NRMsRMrgVfFsKbcAovQdLAs24O0Q9CH5UdADai1QtDro3jx
nl4x7HaWIo9F8Gp/H1c=
 </ds:SignatureValue>
 <ds:KeyInfo>
  <ds:X509Data>
   <ds:X509Certificate>MIIElzCCA3+gAwIBAgIQNT2i6HKJtCXFUFRB8qYsZjANBgkqhkiG9w0BAQUFADB3MQswCQYDVQQG
    EwJGUjEOMAwGA1UEBxMFUGFyaXMxDDAKBgNVBAoTA3BzYTEgMB4GA1UECxMXY2VydGlmaWNhdGUg
    YXV0aG9yaXRpZXMxKDAmBgNVBAMTH0FDIFBTQSBQZXVnZW90IENpdHJvZW4gUHJvZ3JhbXMwHhcN
    MDkwODE5MDcxNTE4WhcNMTEwODE5MDcxNTE5WjCBhjELMAkGA1UEBhMCZnIxHzAdBgkqhkiG9w0B
    CQEWEHBhc3NleHRAbXBzYS5jb20xGDAWBgoJkiaJk/IsZAEBEwhtZGVtb2IwMDEMMAoGA1UEChMD
    cHNhMREwDwYDVQQLEwhwcm9ncmFtczEbMBkGA1UEAxMSVGVzdCAtIFBBU1NFWFQgREVWMIGfMA0G
    CSqGSIb3DQEBAQUAA4GNADCBiQKBgQCuY1nrepgACvDSTLWk5A1cFOJSwDbl6CWfYp3cNYR0K3YV
    e07MDZn+Rv4jo3SusHVFds+mzKX2f8AeZjkA3Me/0yiS9UpS9LQZu9mnhFlZRhmUlDDoIZxovLXN
    aOv/YHmPeTQMQmJZu5TjqraUq7La1c187AoJuNfpxt227N1vOQIDAQABo4IBkTCCAY0wDgYDVR0P
    AQH/BAQDAgWgMB8GA1UdIwQYMBaAFLceWtTfVeRuVCTDQWkmwO4U01X/MAwGA1UdEwEB/wQCMAAw
    gbYGA1UdIASBrjCBqzCBqAYKKoF6ARfOEAEBBDCBmTBBBggrBgEFBQcCARY1aHR0cDovL3JldW5p
    cy5pbmV0cHNhLmNvbS9hdXRvcml0ZS9QQy1BQy1Qcm9ncmFtcy5wZGYwVAYIKwYBBQUHAgIwSDAK
    FgNwc2EwAwIBARo6UG9saXRpcXVlIGRlIENlcnRpZmljYXRpb24gQUMgUFNBIFBldWdlb3QgQ2l0
    cm9lbiBQcm9ncmFtczBcBgNVHR8EVTBTMFGgT6BNhktodHRwOi8vaW5mb2NlcnQucHNhLXBldWdl
    b3QtY2l0cm9lbi5jb20vQUMtUFNBLVBldWdlb3QtQ2l0cm9lbi1Qcm9ncmFtcy5jcmwwHQYDVR0l
    BBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMBYGA1UdDgQPBA1BVVRPX0dFTkVSQVRFMA0GCSqGSIb3
    DQEBBQUAA4IBAQCvRtP6bFkOUEHcqc6yUX0Q1Gk2WaAcx4ziUB0tw2GR9I0276JRJR0EGuJ/N6Fn
    3FhLQrSPmS97Xvc9XmiI66fQUdg64g9YqBecdiQlUkR20VLgI6Nq8pldQlWjU2iYlkP15U7VF4Qr
    0Pb2QiIljZUCKdv3qdED2Ri33za46LfykrlwZB0uhTVUxI/AEtjkKVFaZaqanJg+vJyZI5b30z7g
    Ff8L3ht4Z7SFKdmY3IQSGzElIAAUfduzTJX0cwnGSU9D4BJu1BS8hWnYPwhk+nBJ7OFhXdwYQFWq
    fhpBLq+ciJti9OMhcdCSIi0PbrOqzqtX7hZUQOvfShhCTJnl5TJJ</ds:X509Certificate>
  </ds:X509Data>
 </ds:KeyInfo>
</ds:Signature>

Ce que je ne comprends pas, pourquoi pas le certificat dans la signature?

Je veux dire, habituellement, je reçois un certificat de l'entreprise sécuritaire dans une sorte de façon, donc je sais que le certificat est à partir d'eux. Et lors de la vérification de la signature réussit, je sais que notre partenaire, la société a signé.

Mais lorsque le certificat est dans la signature de la SAML-Réponse, n'importe qui pourrait l'ai envoyé! La seule chose que je sais, c'est que la réponse n'a pas été falsifié. Mais le point est, je n'ai aucune idée de qui a envoyé le SAML.

Quelqu'un peut-il m'expliquer, comment ça fonctionne?

Merci beaucoup,

Dante

Demandé el 9 de Novembre, 2009 par Dante

Réponses

Trop de publicités?

70voto

Keith avatar
Keith Points 46288

SAML réponses viennent avec une signature et d'une clé publique de signature.

Vous pouvez utiliser la clé publique pour vérifier que le contenu de la réponse SAML correspond à la clef - en d'autres termes, que la réponse certainement est venu de quelqu'un qui a de la clé privée correspondante à la clé publique contenue dans le message, et la réponse n'a pas été altéré.

Je ne sais pas ce tech vous travaillez avec, mais .Net vous pouvez le vérifier comme ceci:

// load a new XML document
var assertion = new XmlDocument { PreserveWhitespace = true };
assertion.LoadXml("The SAML XML that you were sent");

// use a namespace manager to avoid the worst of xpaths
var ns = new XmlNamespaceManager(assertion.NameTable);
ns.AddNamespace("samlp", @"urn:oasis:names:tc:SAML:2.0:protocol");
ns.AddNamespace("asrt", @"urn:oasis:names:tc:SAML:2.0:assertion");
ns.AddNamespace("dsig", @"http://www.w3.org/2000/09/xmldsig#");

// get nodes down to the signature
var responseNode = assertion.SelectSingleNode("/samlp:Response", ns);
var assertionNode = responseNode.SelectSingleNode("asrt:Assertion", ns);
var signNode = assertionNode.SelectSingleNode("dsig:Signature", ns);

// load the XML signature
var signedXml = new SignedXml(assertion.DocumentElement);
signedXml.LoadXml(signNode as XmlElement);

// get the certificate, basically:
//     signedXml.KeyInfo[0].Certificates[0]
// ...but with added casting
var certificate = GetFirstX509Certificate(signedXml);

// check the key and signature match
bool isSigned = signedXml.CheckSignature(certificate, true);

Qui vérifie juste que le message est de qui il dit qu'il est. Vous avez besoin d'un supplément de vérifier que le message est venu de quelqu'un en qui vous avez confiance.

Normalement, ce sera une liste de clés publiques que vous accepteriez SAML les réponses.

Ensuite, vous pouvez vérifier que ce message n'a pas été altéré, et est de quelqu'un en qui vous avez confiance, de sorte que vous pouvez autoriser les détails de l'utilisateur fourni dans le SAML attributs fournis.

Vous pourriez déjà avoir la clé publique, ce qui signifie que la signature n'a pas besoin d'inclure la clé publique de nouveau, mais la signature spec et le SAML spec tant besoin.

Répondu el 26 de Mai, 2011 par Keith (46288 Points )

53voto

Fly avatar
Fly Points 2218

La raison pour laquelle la clé est spécifiée, c'est que les Métadonnées pour le Fournisseur d'Identité est possible de spécifier plusieurs clés de signature, et vous pouvez spécifier la clé à utiliser en l'intégrant à la signature. SAML 2.0 nécessite que si la clé n'est pas spécifié avec l' Assertion, alors il peut être déduit par le contexte (à partir des Métadonnées pour l'affirmer partie).

Par exemple, vous pouvez avoir dans votre Métadonnées pour l'affirmer partie:

        <KeyDescriptor>
        <ds:KeyInfo>
            <ds:X509Data>
                <ds:X509Certificate>
BQUAMCMxITAfBgNVBAMTGGlkcDEudGFuZ29oZWFsdGhkZW1vLmNvbTAeFw0xMzA1
...snip...
ttHq2Wi5J7img1M2zo28hH5DK78S+XerfXHK2HEZYZs=
                </ds:X509Certificate>
            </ds:X509Data>
            <ds:X509Data>
                <ds:X509Certificate>
H24a88h7zlq+pnAxQm0CAwEAAaN3MHUwVAYDVR0RBE0wS4IYaWRwMS50YW5nb2hl
...snip...
mg1M2zo28hH5DK78=
                </ds:X509Certificate>
            </ds:X509Data>
        </ds:KeyInfo>
    </KeyDescriptor>

Chaque élément XML qui est signé pouvez spécifier la clé est utilisée pour la signature. Cependant, avec le cas de SAML 2.0, que la signature de clé (par exemple) correspond à celui qui est défini dans les Métadonnées pour la partie génération de la signature. Si la clé fournie avec la signature n'est pas digne de confiance (pas spécifié dans les Métadonnées dans ce cas), puis la SAML système doit générer une erreur lors de la validation de la signature.

Répondu el 3 de Juin, 2013 par Fly (2218 Points )

9voto

blowdart avatar
blowdart Points 28735

La partie publique du certificat de signature est dans le SAML message. Cette fonction est utilisée pour vérifier la signature pour le jeton de lui-même, et bien sûr pour permettre aux récepteurs de dire qui a délivré le jeton et le traiter en conséquence.

Le fait qu'il y est une partie de l'XML digital signature specs, c'est pas vraiment quelque chose de SAML spécifiques. Sans le certificat comment pourriez-vous dire où se trouve le jeton est venu, et comment pourriez-vous valider?

XmlDSig ne spécifiez d'autres méthodes, vous pouvez identifier la clé de signature par un objet, le numéro de série, de hachage, etc., mais cela suppose que la partie qui les reçoit a le certificat public. Pour SAML cela peut ne pas être le cas, d'où l'intégration de la partie publique de la X509 cert.

Répondu el 9 de Novembre, 2009 par blowdart (28735 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X