어설션 서명을 사용하여 메시지 레벨에서 SAML 토큰을 보안합니다.
시작하기 전에
SAML 토큰에 대한 서명을 구성하기 전에
메시지 레벨 무결성 보호를 통해
인증 지원 토큰으로 SAML 토큰을 작성하기 위해 SAML 정책 세트 및 바인딩을 구성해야 합니다.
자세한 정보는 SAML을 사용하여 메시지 보안을 참조하십시오.
또한 첨부된 SAML 바인딩은 일반 바인딩이 아닌 애플리케이션 특정 바인딩이어야 합니다.
SAML 어설션 서명에 사용된 변환 알고리즘은 다른 서명된 파트와 다르지만,
일반 바인딩에서는 하나의 변환 알고리즘만 사용됩니다.
이 태스크 정보
이 태스크에서는 특별히 SAML 토큰에 디지털 서명하는 방법의 단계를
설명합니다. 이 태스크에서는 서명해야 하는 메시지 파트와 관련하여 SAML 발신자-인증 또는 SAML Bearer 토큰에 대한
SAML 토큰 프로파일 OASIS 표준 요구사항을 설명하지 않습니다. SAML 어설션에 서명하려면
SOAP 메시지가 <wsse:Security> 헤더 블록에 <wsse:SecurityTokenReference>
요소를 포함해야 합니다. SecurityTokenReference(STR)는
<ds:Reference>
요소를 사용하여 메시지 서명으로 참조됩니다. 보안 토큰 참조는
참조된 어설션 ID를 지정하여 ValueType 값이 http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID
또는 http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.0#SAMLAssertionID인
<wsse:KeyIdentifier> 요소를 포함해야 합니다. <ds:Reference>
요소는 STR-transform 알고리즘의 URI, http://docs.oasis-open.org/wss/2004/01/oasis-200401-wsssoap-message-security-1.0#STR-Transform을
포함해야 합니다.
STR-transform을 사용하면 <wsse:SecurityTokenReference> 요소뿐만 아니라,
SAML 어설션 자체에 서명하도록 보장합니다.
이 구성 단계를 수행하여
메시지 레벨에서 SAML 토큰 서명을 사용합니다.
문제점 방지: SAML 속성 콜백 핸들러의 사용은
초기 작성 시 SAMLToken에 사용자 정의 속성을 추가하는 유일한 방법입니다. SAMLToken.addAttribute 메소드를 사용하여 SAMLToken에 속성을 추가할 수 있어도
토큰에 디지털 서명(있는 경우)이 제거됩니다. 또한
암호화된 SAML 토큰 또는 암호화된 속성을 사용할 수 없습니다.
gotcha