Из того, что я нашел, тестовые соединители OneLogin по умолчанию не требуют подписанного Authnrequest.Authnrequest, созданный с помощью HTTP-Redirect, прекрасно работает без подписи.Я могу аутентифицировать своего пользователя через OneLogin и обработать ответ SAML.
На данный момент я пытаюсь протестировать код, подписывающий AuthNRequest.На основании спецификаций https://docs.oasis -open.org / security / saml / v2.0 / saml-bindings-2.0-os.pdf метод HTTP-Redirect поддерживает подписанный запрос AuthNRequest.Параметры URL-адреса будут следующими: «SAMLRequest = запрос & SigAlg = алгоритм и подпись = подпись».У меня нет необходимости в RelayState, поэтому он был исключен из примера.В спецификации говорится, что подпись для метода HTTP-Redirect будет создана с использованием параметров строки запроса «SAMLRequest = request & SigAlg =gorithm», подписанных с использованием алгоритма, указанного в строке запроса.Так что сам запрос не подписан.Я подписываюсь, используя самозаверяющий сертификат.Я передал все значения строки запроса соединителю OneLogin, и каждый раз, когда AuthNRequest успешно обрабатывается OneLogin.Тем не менее, я изменил значение подписи, чтобы оно было недействительным, и даже оставил его пустым, чтобы, надеюсь, он потерпел неудачу, и запрос AuthNRequest обрабатывается OneLogin.
FYI - я пытался использовать https://www.samltool.com/sign_authn.php для созданияподписанный запрос AuthNRequest, чтобы убедиться, что я делал это правильно, но он, по-видимому, предоставляет только HTTP-сообщение, а не запрос HTTP-перенаправления AuthNRequest.
У меня есть следующие вопросы:
- Поддерживает ли OneLogin подписанный AuthNRequest через HTTP-Redirect?
- Есть ли способ настроить тестовый соединитель для запроса подписанного AuthNRequest?
- Как сообщить OneLogin об открытом ключе отмой сертификат, который использовался для подписания AuthNRequest?