Сбой аутентификации SAML в Spring Security с помощью Microsoft ADFS

Question

Сбой аутентификации SAML в Spring Security с помощью Microsoft ADFS

Мы пытаемся использовать Spring Security для подключения к серверу Microsoft ADFS. Мы настроили пример приложения SAML Spring, как описано в документации по безопасности Spring, но на сервере ADFS появляются следующие ошибки.

Exception details: 
    Microsoft.IdentityServer.Protocols.Saml.SamlProtocolSignatureVerificationException: MSIS7075: SAML authentication request for the WebSSO profile must not specify any SubjectConfirmations.
       at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.ValidateSignatureRequirements(SamlMessage samlMessage)
       at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
       at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)
       at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired)
       at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
       at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
       at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
       at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

А потом:

The verification of the SAML message signature failed. 
Message issuer: http://adfs.xxxx.yyyy.com/adfs/services/trust 
Exception details: 
MSIS7075: SAML authentication request for the WebSSO profile must not specify any SubjectConfirmations. 

This request failed. 

User Action 
Verify that the message issuer configuration in the AD FS configuration database is up to date. 
Configure the signing certificate for the specified issuer. 
Verify that the issuer's certificate is up to date. 
Verify the issuer and server message signing requirements.

Мы уже применили вышеупомянутые предложения. В журналах безопасности Spring нет сообщений об ошибках.

2

java spring spring-security single-sign-on adsf

Источник

user4882961 09 май '15 в 21:06

1 ответ

Другие вопросы по тегам java spring spring-security single-sign-on adsf

user197364 06 окт '15 в 19:51 2015-10-06 19:51 · Answer 1 · 2015-10-06 19:51

Спецификации SAML ( использование 4.1.4.1) говорят:

Обратите внимание, что поставщик услуг МОЖЕТ включать в запрос элемент, в котором указывается фактическая идентификационная информация, о которой он хочет получить утверждение. Этот элемент НЕ ДОЛЖЕН содержать никаких элементов. Если провайдер идентификации не распознает принципала как эту идентификацию, он ДОЛЖЕН ответить сообщением, содержащим статус ошибки и без подтверждений.

Похоже, модуль может нарушать эту спецификацию. Проверьте и посмотрите, есть ли возможность избежать отправки элементов SubjectConfirmation в IDP.