Identity Server не проверяет подпись SAML LogoutRequest

Question

У меня работает WSO2 IS и настроен поставщик услуг, который настроил входящую аутентификацию SAML.Я включил флажок «Включить проверку подписи в запросах на проверку подлинности и запросы на выход из системы» для поставщика услуг SAMl.

Если я отправлю запрос AuthnRequest с неправильной подписью, произойдет ошибка.Однако, если я отправлю LogoutRequest с подписью no (или с подписью, сделанной из совершенно другого сертификата / ключа), он выйдет из системы без ошибок.Как включить проверку подлинности подписи WSO2 IS?

Я использую последний Docker-контейнер WSO2.Я полагаю, что это IS 5.7.0 в соответствии с этим журналом запуска:

Starting WSO2 Carbon... Operating System : Linux 4.9.93-linuxkit-aufs, amd64 Java Home : /home/wso2carbon/java/jre Java Version : 1.8.0_144 Java VM : Java HotSpot(TM) 64-Bit Server VM 25.144-b01,Oracle Corporation Carbon Home : /home/wso2carbon/wso2is-5.7.0 Java Temp Dir : /home/wso2carbon/wso2is-5.7.0/tmp

Answer 1

Кажется, проверка подписи [1] пропускается в запросе на выход из-за проблемы в коде.Пожалуйста, обратитесь к проблеме git [2], чтобы отследить это.

[1] https://github.com/wso2-extensions/identity-inbound-auth-saml/blob/ee338982c1add8f75f1132a6b3bacb30cee7989b/components/org.wso2.carbon.identity.sso.saml/src/main/java/org/wso2/carbon/identity/sso/saml/processors/SPInitLogoutRequestProcessor.java#L130
[2] https://github.com/wso2/product-is/issues/4048