¿Son equivalentes a esta ID de nombre de SAML?

1

Tengo una aplicación que utiliza la autenticación SAML, actúa como un SP y, por lo tanto, analiza SAMLResponses. Recibí la notificación de que un IdP que se comunica con mi aplicación ahora comenzará a firmar sus respuestas SAML con enlace en lugar de lo que solían hacer, que era enlace . Este nuevo método significa que los comentarios ahora son importantes al calcular la validez de la firma SAML.

Esta es mi pregunta: cuando se utiliza la canonicalización de #ConComentarios que se menciona arriba, ¿son estos NameIDs equivalentes? ¿O producirán firmas diferentes de SAML?

<NameID> [email protected] </NameID>
<NameID> test <[email protected]> </NameID>
<NameID> test <!--@--> user.com </NameID>
<NameID> [email protected] <!----> </NameID>
    
pregunta Tylerlee12 01.03.2018 - 22:33
fuente

1 respuesta

5

Se supone que esto responde a enlace .

Las firmas XML serán diferentes ya que los comentarios XML son parte del XML canonizado que se firma.

Por supuesto, el valor de NameID es [email protected] para los ejemplos primero y cuarto, prueba user.com para el segundo ejemplo y prueba para el tercer ejemplo.

El problema no radica en el método de canonicalización, sino en algunas bibliotecas SAML que utilizaron el primer nodo de texto como el valor NameID en lugar de la concatenación de todos los nodos de texto. Por ejemplo, [email protected] podría cambiarse a test<!--comment-->@user.com sin afectar la firma y algunas bibliotecas SAML devolverían test como el NameID.

El uso de enlace evitaría este problema pero aún así valdría la pena comprobar si su La biblioteca SAML maneja correctamente los comentarios incrustados.

    
respondido por el ComponentSpace 02.03.2018 - 01:46
fuente

Lea otras preguntas en las etiquetas