OneLogin 签名的 Authnrequest HTTP 重定向方法

Posted 2023-02-24

【中文标题】OneLogin 签名的 Authnrequest HTTP 重定向方法

【英文标题】：OneLogin Signed Authnrequest HTTP-Redirect Method

【发布时间】：2019-07-16 20:07:49

【问题描述】：

从我发现 OneLogin 测试连接器默认情况下不需要签名的 Authnrequest。使用 HTTP-Redirect 进行的 Authnrequest 无需签名即可正常工作。我能够通过 OneLogin 对我的用户进行身份验证，并处理 SAML 响应。

此时我正在尝试测试签署 AuthNRequest 的代码。基于规范https://docs.oasis-open.org/security/saml/v2.0/saml-bindings-2.0-os.pdf，HTTP-Redirect 方法支持签名的 AuthNRequest。 url 参数将是“SAMLRequest=request&SigAlg=algorithm&Signature=signature”。我不需要 RelayState，所以它被排除在示例之外。规范说 HTTP-Redirect 方法的签名将使用查询字符串参数“SAMLRequest=request&SigAlg=algorithm”创建，使用查询字符串中指定的算法进行签名。所以请求本身没有签名。我正在使用自签名证书进行签名。我已将所有查询字符串值传递给 OneLogin 连接器，并且每次 AuthNRequest 都由 OneLogin 成功处理。但是，我已将签名值修改为无效，甚至将其留空以希望它失败并且 AuthNRequest 由 OneLogin 处理。

仅供参考 - 我尝试使用 https://www.samltool.com/sign_authn.php 创建签名的 AuthNRequest 以确保我做的正确，但它似乎只提供 HTTP-Post，而不是 HTTP-Redirect AuthNRequest。

我有以下问题：

OneLogin 是否支持通过 HTTP 重定向签名的 AuthNRequest？ 有没有办法将测试连接器设置为需要签名的 AuthNRequest？ 如何通知 OneLogin 我的证书中用于签署 AuthNRequest 的公钥？

【参考方案1】：

Onelogin（和其他 IDaaS）不支持签名请求。我从来没有确定为什么会这样，但直接的答案是 Onelogin 不支持。