根据我的发现,默认情况下OneLogin测试连接器不需要签名的Authnrequest。使用HTTP-Redirect进行的Authnrequest在没有签名的情况下工作正常。我可以通过OneLogin验证我的用户,并处理SAML响应。
此时我正在尝试测试签署AuthNRequest的代码。根据规范https://docs.oasis-open.org/security/saml/v2.0/saml-bindings-2.0-os.pdf,HTTP-Redirect方法支持签名的AuthNRequest。 url参数将是“SAMLRequest = request&SigAlg = algorithm&Signature = signature”。我不需要RelayState,因此它被排除在示例之外。规范说,HTTP-Redirect方法的签名将使用查询字符串参数“SAMLRequest = request&SigAlg = algorithm”创建,使用查询字符串中指定的算法进行签名。所以请求本身没有签名。我正在使用自签名证书进行签名。我已将所有查询字符串值传递给OneLogin连接器,并且每次OneLogin成功处理AuthNRequest时。但是,我已将签名值修改为无效,甚至将其留空以希望失败并且OneLogin处理AuthNRequest。
仅供参考 - 我尝试使用https://www.samltool.com/sign_authn.php创建签名的AuthNRequest以确保我正确地执行此操作,但它似乎只提供HTTP-Post,而不是HTTP-Redirect AuthNRequest。
我有以下问题:
Onelogin(和其他IDaaS)不支持签名请求。我从来没有确定为什么会这样,但直接的答案是在Onelogin中没有支持。