个人中心
gpt4 book ai didi

ADFS 服务器上的 SAML LogOutRequest 处理失败

转载 作者:行者123 更新时间:2023-12-01 18:40:57 24 4
gpt4 key购买 nike

我有 ADFS 服务器作为 IdP。我有单独的 SP 应用程序。这些是在信任圈中定义的。基于 SAML 协议(protocol)的 SSO 工作正常。当我尝试 SP 发起的注销请求时,我在 ADFS 端遇到错误:

MSIS7000:登录请求不符合 Web 浏览器客户端的 WS-Federation 语言或 SAML 2.0 协议(protocol) WebSSO 配置文件。

编辑 来自 ADFS 事件跟踪的更多详细消息:

MSIS7015:此请求不包含预期的协议(protocol)消息,或者根据 HTTP SAML 协议(protocol)绑定(bind)找到了不正确的协议(protocol)参数。

我查看了 mu log out SAML 消息,看起来是正确的。只是提一下,同一个 SP 正在使用 ForgeRocks IdP(前 Sun OpenSSO)正确注销。

Saml loout 请求消息:

<samlp:LogoutRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
                 ID="b00b3f55-f3e3-4935-9e91-da6bf8b62efd"
                 Version="2.0"
                 IssueInstant="2013-08-27T09:45:08Z"
                 Destination="https://00.00.00.00/adfs/ls/"
                 Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified"
                 NotOnOrAfter="2013-08-27T09:50:08Z"
                 >
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">SPEntityId/</saml:Issuer>                    
<saml:NameID xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">jsmith@company.com</saml:NameID>
<samlp:SessionIndex>_ea853497-c58a-408a-bc23-c849752d9741</samlp:SessionIndex>

编辑

Lan 向我建议必须对注销请求消息进行签名。他是对的。在 OASIS 规范 ( http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf ) 第 4.4.3.1 节中。它被描述。据此,我正在发送现在已签名的消息,但我遇到了同样的问题。

签名消息:

<samlp:LogoutRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
                 ID="aed640c0-9455-49ea-9450-4ad7c08d98e7"
                 Version="2.0"
                 IssueInstant="2013-08-29T15:22:45Z"
                 Destination="https://server/adfs/ls/"
                 Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified"
                 NotOnOrAfter="2013-08-29T03:27:45Z"
                 >
<saml:NameID xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
             Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">user</saml:NameID>
<samlp:SessionIndex>_677952a2-7fb3-4e7a-b439-326366e677db</samlp:SessionIndex>
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">SPIssuer</saml:Issuer>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
    <SignedInfo>
        <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
        <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <Reference URI="#aed640c0-9455-49ea-9450-4ad7c08d98e7">
            <Transforms>
                <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
            </Transforms>
            <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
            <DigestValue>53jjPvQ2Ty1Z+VikwrUwW4Erj3k=</DigestValue>
        </Reference>
    </SignedInfo>
    <SignatureValue>signed value</SignatureValue>
    <KeyInfo>
        <X509Data>
            <X509Certificate>certificate</X509Certificate>
        </X509Data>
    </KeyInfo>
</Signature>

我做错了什么?应该在 ADFS 上指定一些其他端点吗?据我所知,它应该与登录请求一样使用(在我这边工作得很好)。

谢谢,拉斯特科

最佳答案

Finlay 我可以做 SLO :)

以前我曾使用 ForgeRock 的 IDP,它运行良好,但使用 ADFS 则不然。很明显,Microsoft 有与 SAML 消息格式相关的限制规则。我发现的结论:

  1. LogoutRequest 消息必须经过签名(SAML 2.0 配置文件文档,第 4.4.3.1 节)。谢谢伊恩。

  2. XML 元素和属性的顺序很重要。这条消息的底部是我的注销请求的最终版本。

  3. NameId 的格式必须与从 AuthenticationResponse 收到的格式相同。它应该包含 ADFS 预期的元素。这些链接帮助了我:Name Identifier (Name ID) claim in the SAML subjectSAML LogoutRequest

  4. LogoutRequest 签名必须用 XmlDsigExcC14NTransform 转换,应该在 XmlDsigEnvelopedSignatureTransform 之后添加

  5. 签名的规范化方法应该是http://www.w3.org/2001/10/xml-exc-c14n#

  6. Issuer、NameID 和 SessionIndex 是必需的 XML 元素

  7. 命名空间是强制性的:xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"和 xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"

有效的最终 LogoutRequest 消息:

<samlp:LogoutRequest ID="f8a62847-92f2-4f0c-936a-df9efe0cc42f"
                 Version="2.0"
                 IssueInstant="2013-08-29T20:53:50Z"
                 Destination="https://server/adfs/ls/"
                 Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified"
                 xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
                 >
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://sp.com/</saml:Issuer>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
    <SignedInfo>
        <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
        <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <Reference URI="#f8a62847-92f2-4f0c-936a-df9efe0cc42f">
            <Transforms>
                <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
                <Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
            </Transforms>
            <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
            <DigestValue>W7F1E2U1OAHRXn/ItbnsYZyXw/8=</DigestValue>
        </Reference>
    </SignedInfo>
    <SignatureValue></SignatureValue>
    <KeyInfo>
        <X509Data>
            <X509Certificate></X509Certificate>
        </X509Data>
    </KeyInfo>
</Signature>
<saml:NameID xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
             Format="http://schemas.xmlsoap.org/claims/UPN"
             >user</saml:NameID>
<samlp:SessionIndex>_2537f94b-a150-415e-9a45-3c6fa2b6dd60</samlp:SessionIndex>

关于ADFS 服务器上的 SAML LogOutRequest 处理失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18466316/

24 4 0
文章推荐: java - 日期格式给出无法解析的日期错误?
文章推荐: sql-server - SQL 上的 String.Join 等效项是什么?
文章推荐: java - java中私有(private)变量的获取和设置
文章推荐: sql-server - 如何为表值函数内的 CTE 设置 maxrecursion 选项
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com