Proteja las señales SAML en el nivel de mensaje habilitando la firma de aserciones.
Antes de empezar
Antes de configurar la firma para señales SAML, debe configurar los conjuntos de políticas y enlaces SAML
para crear señales SAML como señales de autenticación de soporte,
con la protección de la integridad de nivel de mensajes. Para obtener más información, consulte la información
sobre cómo proteger los mensajes mediante SAML. Además, los enlaces SAML adjuntados deben ser enlaces específicos de
aplicación, no enlaces generales. El algoritmo de transformación que se utiliza para aserciones SAML de firma
es distinto del resto de partes firmadas, aunque sólo se utiliza un algoritmo de transformación con
los enlaces generales.
Acerca de esta tarea
En esta tarea se aborda específicamente los pasos de cómo firmar digitalmente una señal SAML. No describe ninguno de los requisitos estándares de OASIS de perfil de señal SAML para sender-vouches SAML ni señales de portador SAML relativas a partes de mensaje que deben firmarse. Para firmar aserciones SAML, un mensaje SOAP debe incluir un elemento <wsse:SecurityTokenReference> en el bloque de cabecera <wsse:Security>. Se hace referencia a STR (SecurityTokenReference) mediante la
firma de mensaje utilizando un elemento <ds:Reference>. La referencia de señal de seguridad debe incluir un elemento <wsse:KeyIdentifier> con el valor ValueType, http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID, o http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.0#SAMLAssertionID, especificando el identificador de aserción referenciada. El elemento <ds:Reference>
debe incluir el URI del algoritmo de transformación STR,
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wsssoap-message-security-1.0#STR-Transform.
El uso de la transformación STR garantiza que la aserción propiamente dicha está firmada, no sólo el elemento
<wsse:SecurityTokenReference>.
Siga estos pasos de configuración para habilitar señales SAML de firma
en el nivel de mensajes.
Avoid trouble: La utilización de un manejador de devolución de llamada de atributos SAML es la única forma de añadir atributos personalizados a una
señal SAML en la creación inicial. Aunque puede añadir atributos al objeto SAMLToken utilizando el método SAMLToken.addAttribute, éste eliminará la firma digital de
la señal si existe. Tampoco puede utilizarse con atributos cifrados o señales SAML cifradas.
gotcha