Проблема проверки подписи Spring SAML

Я пытаюсь использовать пример приложения Spring SAML для подключения к Shibboleth IdP, но столкнулся с проблемой проверки подписи, которую мне не удалось устранить.

Когда образец приложения получает ответ от IdP, возникает исключение со следующим:

Caused by: org.opensaml.ws.security.SecurityPolicyException: Validation of protocol message signature failed
at org.opensaml.common.binding.security.SAMLProtocolMessageXMLSignatureSecurityPolicyRule.doEvaluate(SAMLProtocolMessageXMLSignatureSecurityPolicyRule.java:138)
at org.opensaml.common.binding.security.SAMLProtocolMessageXMLSignatureSecurityPolicyRule.evaluate(SAMLProtocolMessageXMLSignatureSecurityPolicyRule.java:107)
at org.opensaml.ws.security.provider.BasicSecurityPolicy.evaluate(BasicSecurityPolicy.java:51)
at org.opensaml.ws.message.decoder.BaseMessageDecoder.processSecurityPolicy(BaseMessageDecoder.java:132)
at org.opensaml.ws.message.decoder.BaseMessageDecoder.decode(BaseMessageDecoder.java:83)
at org.opensaml.saml2.binding.decoding.BaseSAML2MessageDecoder.decode(BaseSAML2MessageDecoder.java:70)
at org.springframework.security.saml.processor.SAMLProcessorImpl.retrieveMessage(SAMLProcessorImpl.java:105)
at org.springframework.security.saml.processor.SAMLProcessorImpl.retrieveMessage(SAMLProcessorImpl.java:172)
at org.springframework.security.saml.SAMLProcessingFilter.attemptAuthentication(SAMLProcessingFilter.java:80)

С журналом, содержащим

- Creating XMLSignature object
- Validating signature with signature algorithm URI: http://www.w3.org   /2001/04/xmldsig-more#rsa-sha256
- Validation credential key algorithm 'RSA', key instance class 'sun.security.rsa.RSAPublicKeyImpl'
- Signature validated with key from supplied credential
- Signature validation using candidate credential was successful
- Successfully verified signature using KeyInfo-derived credential
- Attempting to establish trust of KeyInfo-derived credential
- Failed to establish trust of KeyInfo-derived credential

похоже, что подпись проверяется, но ключ не является доверенным. Чего я не могу понять, так это как "установить" доверие.

Я настроил образец приложения

  1. Скопируйте метаданные IdP в пример приложения и загрузите его, добавив его в securityContext.xml

    <bean id="metadata" class="org.springframework.security.saml.metadata.CachingMetadataManager">
<constructor-arg>
    <list>
        <!-- Example of classpath metadata with Extended Metadata -->
        <bean class="org.springframework.security.saml.metadata.ExtendedMetadataDelegate">
            <constructor-arg>
                <bean class="org.opensaml.saml2.metadata.provider.ResourceBackedMetadataProvider">
                    <constructor-arg>
                        <bean class="java.util.Timer"/>
                    </constructor-arg>
                    <constructor-arg>
                        <bean class="org.opensaml.util.resource.ClasspathResource">
                            <constructor-arg value="/metadata/twoss-metadata.xml"/>
                        </bean>
                    </constructor-arg>
                    <property name="parserPool" ref="parserPool"/>
                </bean>
            </constructor-arg>
            <constructor-arg>
                <bean class="org.springframework.security.saml.metadata.ExtendedMetadata">
                            <property name="signingKey" value="shib-signing"/>
                            <property name="trustedKeys" value="shib-signing"/>
                </bean>
            </constructor-arg>
                 <property name="metadataTrustCheck" value="false"/>
        </bean>
    </list>
</constructor-arg>

  2. Настройка метаданных SP выглядит так

    <bean id="metadataGeneratorFilter" class="org.springframework.security.saml.metadata.MetadataGeneratorFilter">
<constructor-arg>
    <bean class="org.springframework.security.saml.metadata.MetadataGenerator">
            <property name="entityId" value="urn:test:dan:vancouver"/>
        <property name="extendedMetadata">
            <bean class="org.springframework.security.saml.metadata.ExtendedMetadata">
                      <property name="signMetadata" value="false"/>
                <property name="idpDiscoveryEnabled" value="true"/>
            </bean>
        </property>
    </bean>
</constructor-arg>

  3. И наконец, я добавил сертификат подписи, сгенерированный во время установки Shibboleth, в хранилище ключей примера приложения.

    keytool -importcert -alias shib-signing -file idp-signing.crt -keystore samlKeystore.jks

    Итак, вопрос в том, что мне нужно сделать, чтобы установить доверие?

Обратите внимание, что и образец приложения, и shibboleth находятся в среде разработки и не используют подписанные CA сертификаты для подписи или шифрования.

Источник

0 ответов

Другие вопросы по тегам