SAML-Token auf Nachrichtenebene schützen, indem das Signieren von Zusicherungen aktiviert wird.
Vorbereitende Schritte
Bevor Sie das Signieren von SAML-Token konfigurieren, müssen Sie
SAML-Richtliniensätze und -Bindungen konfigurieren,
um SAML-Token als Token für die Authentifizierungsunterstützung mit Integritätsschutz auf Nachrichtenebene
zu erstellen.
Lesen Sie hierzu die Informationen zum Schutz von Nachrichten mit SAML.
Zusätzlich müssen die zugeordneten
SAML-Bindungen anwendungsspezifische Bindungen sein und nicht allgemeine Bindungen.
Der Umsetzungsalgorithmus, der für das Signieren von SAML-Zusicherungen verwendet wird,
unterscheidet sich von allen anderen signierten Abschnitten, während für allgemeine Bindungen lediglich ein
Umsetzungsalgorithmus verwendet wird.
Informationen zu diesem Vorgang
Diese Task beschäftigt sich
speziell mit den
Schritten für die digitale Signatur eines SAML-Tokens.
Diese Task enthält keine Informationen zu den Anforderungen des OASIS-Standards
SAML Token Profile für SAML-Sender-Vouches-Token oder SAML-Bearer-Token
bezüglich der zu signierenden Nachrichtenabschnitte.
Für das Signieren von SAML-Zusicherungen muss eine
SOAP-Nachricht ein Element des Typs <wsse:SecurityTokenReference> im Headerblock
<wsse:Security> enthalten. Die
"SecurityTokenReference" (Sicherheitstokenreferenz, STR) wird
mit einem Element des Typs <ds:Reference> von der Nachrichtensignatur referenziert.
Die Sicherheitstokenreferenz muss
ein Element des Typs <wsse:KeyIdentifier> mit dem
"ValueType"-Wert http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID,
oder http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.0#SAMLAssertionID enthalten, der
die referenzierte Zusicherungs-ID angibt.
Das Element des Typs
<ds:Reference> muss die URI des Algorithmus "STR-transform" enthalten:
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wsssoap-message-security-1.0#STR-Transform.
Durch die Verwendung von
"STR-transform" wird sichergestellt, dass die SAML-Zusicherung selbst und nicht nur das Element
<wsse:SecurityTokenReference> signiert wird.
Befolgen Sie diese Konfigurationsschritte, um das Signieren von
SAML-Token auf Nachrichtenebene zu aktivieren.
Fehler vermeiden: Beim ersten Erstellen eines SAMLToken können diesem nur über einen
SAML-Attribut-Callback-Handler angepasste Attribute hinzugefügt werden.
Zwar können Sie Ihrem SAMLToken-Objekt mit der Methode
SAMLToken.addAttribute Attribute hinzufügen können, aber dadurch wird die digitale Signatur des Tokens entfernt, falls vorhanden.
Außerdem kann diese Methode nicht mit
verschlüsselten SAML-Token oder verschlüsselten Attributen verwendet werden.
gotcha