0
소스 코드가없는 사용자 정의 SAML 2 라이브러리를 WIF와 교체하려고하는데, 이에 대해서는 경험이 없습니다. 예제 코드를 찾는 데 운이 없기 때문에 시행 착오의 스타일을 사용하고 있습니다. 코드가 거의 작동하는 것처럼 보입니다. 그러나 나는 매우 간결한 The signature verification failed. 메시지와 다른 것을 얻지 못합니다.Windows Identity Foundation을 사용하여 SAML 2 어설 션 유효성을 검증하지 못했습니다.
이 프로세스에 대한 입력을 위해 X509 인증서와 base-64로 인코딩 된 SAML 2 어설 션이 있습니다.
내 코드는;
// Load X509 certificate
string rootPath = System.AppDomain.CurrentDomain.BaseDirectory;
string certFilePath = ConfigurationManager.AppSettings["SAMLCertLocation"];
certFilePath = Path.Combine(rootPath, certFilePath);
msg = string.Format("SAMLCertLocation: [{0}]", certFilePath);
Trace.TraceInformation(msg);
X509Certificate2 cert = new X509Certificate2(certFilePath, String.Empty);
// build token handler configuration
List<System.IdentityModel.Tokens.SecurityToken> serviceTokens = new List<System.IdentityModel.Tokens.SecurityToken>();
serviceTokens.Add(new System.IdentityModel.Tokens.X509SecurityToken(cert));
ConfigurationBasedIssuerNameRegistry issuers = new ConfigurationBasedIssuerNameRegistry();
issuers.AddTrustedIssuer(cert.Thumbprint, cert.Issuer);
SecurityTokenHandlerConfiguration config = new SecurityTokenHandlerConfiguration()
{
AudienceRestriction = { AudienceMode = AudienceUriMode.Never },
CertificateValidator = X509CertificateValidator.None,
// RevocationMode = X509RevocationMode.NoCheck, // no such property
IssuerNameRegistry = issuers,
MaxClockSkew = TimeSpan.FromMinutes(5),
ServiceTokenResolver = SecurityTokenResolver.CreateDefaultSecurityTokenResolver(serviceTokens.AsReadOnly(), false)
};
// extract the assertion from the request
byte[] data = Convert.FromBase64String(reqstr);
string assertion = Encoding.UTF8.GetString(data);
Trace.TraceInformation(assertion);
// read and validate the assertion
Saml2SecurityTokenHandler handler = new Saml2SecurityTokenHandler();
handler.Configuration = config;
bool canReadToken = handler.CanReadToken(XmlReader.Create(new StringReader(assertion)));
msg = string.Format("CanReadToken [{0}]", canReadToken);
Trace.TraceInformation(msg);
if (canReadToken)
{
try
{
System.IdentityModel.Tokens.SecurityToken token = handler.ReadToken(XmlReader.Create(new StringReader(assertion)));
ClaimsIdentityCollection claims = handler.ValidateToken(token);
msg = string.Format("SAML Claims [{0}]", claims.ToString());
Trace.TraceInformation(msg);
}
catch (Exception e)
{
msg = string.Format("Validation Exception [{0}]", e.Message);
Trace.TraceInformation(msg);
}
}
나가는 오류는 다음과 같습니다.
2016-09-15T19:34:39 PID[6504] Information CanReadToken [True]
2016-09-15T19:34:39 PID[6504] Information Validation Exception [ID6013: The signature verification failed.]
2016-09-19T13:13:13 PID[11912] Information Validation Exception [System.Security.Cryptography.CryptographicException: ID6013: The signature verification failed.
at Microsoft.IdentityModel.Protocols.XmlSignature.SignedXml.VerifySignature(HashAlgorithm hash, AsymmetricSignatureDeformatter deformatter, String signatureMethod)
at Microsoft.IdentityModel.Protocols.XmlSignature.SignedXml.StartSignatureVerification(SecurityKey verificationKey)
at Microsoft.IdentityModel.Protocols.XmlSignature.EnvelopedSignatureReader.OnEndOfRootElement()
at Microsoft.IdentityModel.Protocols.XmlSignature.EnvelopedSignatureReader.Read()
at System.Xml.XmlReader.ReadEndElement()
at Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenHandler.ReadAssertion(XmlReader reader)
at Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenHandler.ReadToken(XmlReader reader)
at AXAWeb.Code.Saml20Login.Saml20Login.SamlLogon(String samlString, String absoluteUrl) in Saml20Login.cs:line 189]
어설 션의 서명 섹션은 다음과 같습니다.
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<Reference URI="#SAML-a964f232-77ab-40d1-a74a-f85dfe10f57d">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
<Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<DigestValue>B9q+BrqH+Fq74R8eCqd+Vd+vKkw=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>...snip for brevity...</SignatureValue>
<KeyInfo>
<X509Data>
<X509Certificate>...snip for brevity...</X509Certificate>
</X509Data>
<X509Data>
<X509IssuerSerial>
<X509IssuerName>CN=Entrust Certification Authority - L1K, OU="(c) 2012 Entrust, Inc. - for authorized use only", OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US</X509IssuerName>
<X509SerialNumber>1356031830</X509SerialNumber>
</X509IssuerSerial>
</X509Data>
</KeyInfo>
</Signature>
는 내가 구성에서 뭔가를 누락 기대, 그래서 나는 this question의 정보를 기반으로 변화를 삽입했다. 그러나 결과는 바뀌지 않았습니다.
경험이있는 사람이라면 누구나 내가이 작품을 만들기 위해 무엇을 추가해야하는지 알고 있습니까?
하지 마십시오 인쇄 : 당신이 서명을 검증하기위한 올바른 인증서를 연결할 경우, 당신이 사용하는 주장에 대한 서명을 검증 할 수 있는지 확인하기 위해 다른 두 가지 System.Security.Cryptography.Xml.SignedXml입니다 예외. 메시지 만. 전체 예외를 인쇄하십시오. 자세한 정보를 얻으려면 String()을 사용하십시오. 그것을 바탕으로 누군가가 당신에게 더 많은 도움을 줄 수있을 것입니다 :) – Thuan
@ Thuan - 제안에 감사드립니다. 위의 새로운 정보가 추가되었습니다. – CAB
정말이 모듈을 교체해야합니까, 아니면 IIS 응용 프로그램이나 그와 비슷한 것을 인증 하시겠습니까? – TGlatzer